[AIX Solaris HP-UX Linux Windows]

Conversion de vos directives de mod_ibm_ldap vers mod_ldap

Convertissez les directives qui utilisent le module mod_ibm_ldap pour utiliser le module Apache mod_ldap module afin de garantir la prise en charge continue de votre configuration LDAP par IBM® HTTP Server.

Avant de commencer

Déterminez les directives à convertir.

Pour convertir vos directives, procédez comme suit.

Procédure

  1. Modifiez la directive LoadModule dans le fichier de configuration httpd.conf ou ldap.prop pour supprimer mod_ibm_ldap.
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. Ajoutez la directive mod_ldap LoadModule au fichier de configuration httpd.conf.
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
    LoadModule ldap_module modules/mod_ldap.so
  3. Convertissez une ou plusieurs des directives suivantes. Pour plus d'informations sur la conversion de vos directives, consultez la rubrique concernant la migration de mod_ibm_ldap.
    Remarque : Il se peut que pour certaines directives, la corrélation ne soit pas univoque.
    Tableau 1. Conversion des directives de configuration LDAP
    mod_ibm_ldap mod_ldap
    ldapCodePageDir Aucun. Le répertoire de pages de code ne peut pas être retiré de son emplacement d'installation.
    LdapConfigFile include
    LdapRequire require
    ldap.application.authType Aucun. Si la directive mod_ldap, AuthLDAPBindDN, est spécifiée, le programme renvoie une authentification de type Basic. Si aucune directive AuthLDAPBindDN n'est spécifiée, le programme renvoie ce qui serait le type d'authentification None (anonyme). Si la configuration mod_ldap spécifie une valeur LDAPTrustedClientCert, le programme renvoie le type d'authentification Cert.
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile Aucun. Le module mod_ldap ne contient pas de directive pour utiliser des mots de passe secrets.
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter Aucun. Le module mod_ldap utilise le filtre fourni à la fin de la directive AuthLDAPURL.
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout Aucun. Le module mod_ldap ne contient pas de directive pour les dépassements du délai de connexion.
    ldap.key.file.password.stashfile Aucun. Le module mod_ldap ne contient pas de directive pour utiliser des mots de passe secrets. Spécifiez le mot de passe du fichier de clés, en texte en clair, à la fin de la directive LDAPTrustedGlobalCert. Vous pouvez également omettre le mot de passe sur la directive LDAPTrustedGlobalCert. Le module mod_ldap recherche alors automatiquement un fichier /path/to/keyfile.sth, en supposant que /path/to/keyfile.kdb était la valeur spécifiée de la directive LDAPTrustedGlobalCert.
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm Aucun. La valeur mod_ibm_ldap de cette directive n'a été utilisée qu'à des fins de consignation. Aucune directive équivalente n'est requise dans mod_ldap.
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType Aucun. Le module mod_ldap authentifie les utilisateurs en fonction des justificatifs d'ID utilisateur et de mot de passe fournis.
    ldap.user.cert.filter Aucun. Le module mod_ldap ne fonctionne pas directement avec des certificats client. Les directives d'autorisation utilisent les valeurs d'environnement définies par le module SSL.
    ldap.user.name.fieldSep Aucun. Le module mod_ldap ne prend pas la prise en charge l'analyse des justificatifs fournis dans les sous-composants.
    ldap.user.name.filter Aucun. Le module mod_ldap spécifie le filtre de nom d'utilisateur dans le cadre de la directive AuthLDAPURL.
    ldap.version Aucun. Le module mod_ldap n'utilise que LDAP version 3.
    ldap.waitToRetryConnection.interval Aucun. Le module mod_ldap n'a pas de délai de dépassement entre deux tentatives de connexion en cas d'échec de connexion. Une nouvelle tentative de connexion se produit au maximum 10 fois avant l'échec d'une demande.
  4. Exécutez la commande Apache avec l'option verify pour vérifier la configuration.
    <ihsinst>bin/apachectl -t
    Avertissement : Cette fonction de vérification de la configuration permet de s'assurer que la syntaxe est correcte mais vous devez vérifier toute modification de la configuration d'une directive en utilisant la documentation de celle-ci afin de garantir une configuration optimale.
    Avertissement : Toutes les directives mod_ibm_ldap qui utilisent le format ldap.* s'affichaient en option dans le fichier de configuration LDAPConfigFile sans le préfixe ldap.

Une configuration SSL mod_ldap

Les directives de configuration suivantes montrent un exemple de configuration LDAP activée SSL. Certaines des directives spécifient des valeurs par défaut et n'ont généralement pas besoin d'être spécifiées mais sont conservées pour fournir le contexte. Ces directives sont incluses mais sont mises en commentaire avec les symboles '##".

##LDAPReferrals On
##LDAPReferralHopLimit 5

[AIX Solaris HP-UX Linux Windows]LDAPTrustedGlobalCert CMS_KEYFILE /full/path/to/ldap_client.kdb clientkdbPassword
#default cert in this kdb is my_cert1

[z/OS]# Alternatively, you can specify a SAF-based keyring, on systems that support it, as follows:
#LDAPTrustedGlobalCert SAF saf_keyring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /path/to/htdocs

	# Ignored because LDAP URLs use ldaps:, where needed
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /path/to/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# This LDAPTrustedClientCert is required to use a different certificate
    # than the default
    LDAPTrustedClientCert CMS_LABEL my_cert2
		AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Private root access"
		require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

	<Directory "/path/to/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		#Uses default cert (my_cert1)
		##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Employee of the month login"
 		require ldap-attribute description="Employee of the Month."
	</Directory>

	<Directory "/path/to/htdocs/development_groups">

		#These are the default values for the subgroup-related directives and only need to be 
		#specified when the LDAP structure differs.
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # This LDAPTrustedClientCert is required to use a different certificate
		# than the default	 LDAPTrustedClientCert CMS_LABEL my_cert3
		AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
			(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
 		AuthLDAPBindPassword mypassword
		AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames
		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
		require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None 

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_convertmodibmldap
Nom du fichier : tihs_convertmodibmldap.html