Protegendo Arquivos ou Diretórios Utilizando Informações do Usuário ou Grupo em um Servidor LDAP
Para definir por usuário:
Inicie o IBM Administration Server. Vá para Permissões de
Acesso > Acesso Geral e insira o arquivo de configuração do LDAP
(C:/Arquivos de Programas/IBM HTTP Server/conf/ldap.prop) no campo
Arquivo de configuração do LDAP. Este é um arquivo obrigatório.
Digite o nome do reino de autenticação do diretório no campo Nome do reino de autenticação.
Para definir por grupo:
LDAPRequire group "nome_do_grupo"
Exemplo: LDAPRequire group "Usuários Administrativos"
Nota: LDAPRequire só irá funcionar se ele for inserido manualmente em httpd.conf.
Utilizando Arquivos do Chaveiro
Para utilizar o mod_ibm_ssl e o mod_ibm_ldap ao configurar o LDAP para utilizar SSL
para comunicar-se com o servidor LDAP, mod_ibm_ssl e mod_ibm_ldapDEVEM utilizar o mesmo arquivo de chaveiro. Se você permitir conexões SSL ao
servidor web e também estiver usando o SSL como o transporte entre o servidor web e o
servidor LDAP, os arquivos do chaveiro (que são usados em ambos os módulos) poderão ser
combinados em um arquivo de chaveiro.
A configuração de cada módulo pode especificar um certificado padrão diferente.
SSL e o Módulo LDAP
Ao utilizar o SSL entre o módulo LDAP e o Servidor de Diretório LDAP,
o arquivo de banco de dados de chaves deve ter permissão para gravação. O arquivo do banco de dados de chaves contém os certificados que estabelecem a identidade de alguém e, em um ambiente protegido, o servidor LDAP pode solicitar
que o servidor web forneça um certificado, para consultar o servidor LDAP a
respeito de informações de autenticação.
O arquivo do banco de dados de chaves deve ser gravável por qualquer ID de usuário do Unix
em que o servidor web estiver sendo executando. Por exemplo, se o servidor web estiver
sendo executando como a ID de usuário do Unix "user ID", o arquivo do banco de dados de
chaves deverá pertencer ao usuário "user ID" e deverá ter permissão de gravação.
Os certificados estabelecem a identidade de alguém, por isso é importante que um
certificado não seja roubado ou substituído pelo certificado de outra pessoa.
Se alguém tiver permissão de leitura do arquivo do banco de dados de chaves, poderá
recuperar os certificados do usuário e se fazer passar por esse usuário. Assim,
ninguém além do proprietário do arquivo do banco de dados de chaves deverá ter permissão
de leitura ou gravação desse arquivo.
O módulo LDAP solicita a senha ao banco de dados de chaves do usuário mesmo se
existir um arquivo stash. O usuário deve usar o comando ldapstash para criar um
arquivo stash LDAP que contenha a senha do arquivo do banco de dados de chaves.
Criando uma conexão LDAP
Para criar uma conexão LDAP, você deve fornecer as informações sobre o servidor LDAP sendo usado.
Edite o arquivo de propriedades ldap (exemplo ldap.prop encontra-se no diretório conf
do HTTP Server) e insira as diretrizes aplicáveis.