IBM®
HTTP Server에서 파일을 인증하고 보호하려면 LDAP(Lightweight
Directory Access Protocol)을 구성할 수 있습니다.
시작하기 전에
우수 사례: LDAP 구성을 위해 mod_ibm_ldap 모듈을
사용 중인 경우 mod_ibm_ldap 지시문을 마이그레이션하여
mod_ldap 모듈 사용을 고려하십시오. mod_ibm_ldap 모듈은
이전 릴리스와의 호환성을 위해 이 IBM HTTP Server 릴리스에서 제공되지만,
LDAP 구성에 대한 미래 지원을 보장하기 위해
mod_authnz_ldap 및 mod_ldap 모듈을 사용하려면
기존 구성을 마이그레이션해야 합니다.
LDAP의
LoadModule 지시문은 기본적으로 IBM HTTP Server에 로드되지
않습니다. LoadModule 지시문이 없는 경우, LDAP 피처를
사용할 수 없습니다.
LDAP 기능을 사용하려면
다음과 같이 IBM HTTP Server
httpd.conf
파일에 LoadModule 지시문을 추가하십시오.
LoadModule ldap_module modules/mod_ldap.soLoadModule authnz_ldap_module modules/mod_authnz_ldap.so
이 태스크 정보
LDAP 인증은 mod_ldap 및 mod_authnz_ldap Apache 모듈에서
제공됩니다.
- mod_ldap 모듈은 LDAP 연결 풀링 및 캐싱을 제공합니다.
- mod_authnz_ldap은 LDAP 연결 풀링 및 캐싱 서비스를 사용하여
웹 클라이언트 인증을 제공합니다.
LDAP(ldap_module 및 authnz_ldap_module) 지시문의 상세한
설명을 보려면 다음 웹 사이트를 참조하십시오.
프로시저
- httpd.conf IBM HTTP
Server 구성 파일을 편집하십시오.
- 액세스를 제한하려는 자원을 판별하십시오. 예:
<Directory "/secure_info">
- LDAP 서버에 대한 IBM HTTP Server 연결이 SSL 연결인
경우 httpd.conf에 LDAPTrustedGlobalCert 지시문을
추가하십시오.
LDAPTrustedGlobalCert 지시문은
mod_ldap이 LDAP 서버에 대한 SSL 연결을 설정할 때 사용하는
신뢰할 수 있는 인증 기관(CA)의 디렉토리 경로 및 파일 이름을
지정합니다.
인증서는 .kdb 파일이나
SAF 키 링에 저장할 수 있습니다. .kdb 파일을
사용하는 경우, .sth 파일이 동일한 디렉토리 경로에
있어야 하고 파일 이름이 동일해야 하지만 확장자는 .kdb가
아니라 .sth여야 합니다.
LDAPTrustedGlobalCert 지시문은 CMS_KEYFILE 값 유형이어야
합니다. LDAPTrustedGlobalCert 지시문이 표시하는 인증서가 .kdb
파일에 저장되는 경우 이 값을 사용하십시오.
LDAPTrustedGlobalCert 지시문은 SAF_KEYRING 값 유형이어야
합니다. LDAPTrustedGlobalCert 지시문이 표시하는 인증서가 SAF 키 링에
저장되는 경우 이 값을 사용하십시오. 인증서가 .kdb
파일에 저장될 때의 예:
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
인증서가 SAF 키 링에 저장된 경우의 예: ![[z/OS]](../images/ngzos.gif)
LDAPTrustedGlobalCert SAF saf_keyring
중요사항: IBM HTTP
Server를 시작하는 데 사용하는 사용자 ID가 이 지시문에서
이름 지정하는 SAF 키 링에 대한 액세스 권한을 가져야
합니다. 사용자 ID에 SAF 키 링에 대한 액세스 권한이 없을 경우
SSL 초기화에 실패합니다.
RACF®에 정의된 SAF 키 링 액세스에 대한
정보는 필수 z/OS 시스템 구성 수행의 내용을 참조하십시오.
- 사용할 LDAP 검색 매개변수를 지정하는 AuthLDAPUrl
지시문을 추가하십시오.
URL의 구문은 다음과 같습니다.
ldap://host:port/basedn?attribute?scope?filter
- 다음과 같이 사용자 환경에 특정한 값으로
보호될 디렉토리 위치(컨테이너)에 httpd.conf의
지시문을 추가하십시오.
- Order deny, allow
- Allow from all
- AuthName Title of your protected Realm
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL your_ldap_url
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword auth_password
LDAP 저장소에 사용자 존재를 허용하는 것 외에
mod_authnz_ldap는
Require ldap-user,
Require
ldap-group 및
Require ldap-filter를 제공합니다. 여러
Require 지시문을 사용할 때 전부는 아니지만 권한 부여에 성공하며
Require 지시문이 현재 사용자와 일치합니다.
- Require ldap-user user1
AuthLDAPURL을 기반으로 "user1"을 검색하고
DN이 인증된 사용자의 DN과 일치하는지 확인
- Require ldap-group cn=group1,o=example,c=US
나열된 LDAP 그룹에서
현재 인증된 사용자 검색
- Require ldap-filter "|(someAttr=val1)(someVal=val2)"
제공된 LDAP 필터에서
인증된 사용자를 검색하십시오. 필터가 1개의 결과를 리턴하는 경우 권한을
패스합니다.
LDAP 서버, 보호 설정, 보호 지시문의
각 조합의 경우, 다음 예와 비슷한 위치 컨테이너를
코딩하십시오.
<Location /ldapdir>
AuthName "whatever_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html