Protection des fichiers ou des répertoires à l'aide des définitions d'utilisateurs et de groupes d'un serveur LDAP
Définition par utilisateur :
Lancez IBM Administration Server. Sélectionnez Droits d'accès >
Accès général puis entrez LdapConfigFile (C:/Program Files/IBM HTTP
Server/conf/ldap.prop) dans la zone Fichier de configuration LDAP. Il
est obligatoire de remplir cette zone.
Entrez le nom du domaine d'authentification de l'annuaire dans
la zone Nom du domaine d'authentification.
Définition par groupe :
LDAPRequire group "nom_groupe"
Exemple : LDAPRequire group "Utilisateurs administratifs"
Définition par filtre :
LDAPRequire filter "filtre_recherche_ldap"
Exemple : LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
Remarque : LDAPRequire ne fonctionne que
si elle est insérée manuellement dans httpd.conf.
Utilisation de fichiers de clés
Pour que les modules mod_ibm_ssl et mod_ibm_ldap puissent être utilisés
en vue de communiquer avec le serveur LDAP via une connexion SSL, ils doivent
obligatoirement partager le même fichier de clés (keyring). Si vous
autorisez les connexions SSL au serveur Web et que vous utilisez également une liaison SSL
comme moyen de transport entre le serveur Web et le serveur
LDAP, les fichiers de clés (qui sont utilisés pour les deux modules)
peuvent être fusionnés dans un seul fichier.
La configuration de chaque module peut désigner un certificat par
défaut différent.
SSL et le module LDAP
En cas d'utilisation du protocole SSL entre le module LDAP et le serveur d'annuaire LDAP,
le fichier de la base de données de clés doit être accessible en écriture.
La base de données de clés contient les certificats qui établissent l'identité
de chaque individu. Or, dans un
environnement sécurisé, le serveur LDAP peut exiger du serveur Web
qu'il lui fournisse un certificat préalablement à la consultation de ses
informations d'authentification.
Le fichier de la base de données de clés doit être accessible en écriture
à l'ID utilisateur Unix sous lequel s'exécute le serveur Web.
Par exemple, si le serveur Web s'exécute sous l'ID Unix "ID utilisateur",
le fichier de la base de données de clés doit appartenir à
l'utilisateur "ID utilisateur" et celui-ci doit pouvoir y accéder en écriture.
Les certificats établissent l'identité d'un individu. Par conséquent,
il est important que les certificats d'un individu ne soient ni volés
ni remplacés par ceux d'un autre individu.
Si une personne a des droits en lecture sur le fichier de la
base de données de clés, elle peut en extraire les
certificats d'un utilisateur et se faire passer pour celui-ci. C'est pourquoi
personne ne doit avoir accès en lecture ou en écriture au fichier de la
base de données de clés, hormis son propriétaire.
Le module LDAP exige le mot de passe d'accès à la base de données
de clés de l'utilisateur, même s'il existe un fichier de dissimulation
(stash) pour ce mot de passe. L'utilisateur doit recourir à la commande ldapstash pour créer un
fichier de dissimulation LDAP contenant le mot de passe d'accès à sa base de données de clés.
Création d'une connexion LDAP
Pour créer une connexion LDAP, vous devez fournir des
informations concernant le serveur LDAP utilisé.
Editez le fichier de propriétés ldap (fichier exemple ldap.prop se trouvant
dans le répertoire conf de HTTP Server) et insérez-y les
directives appropriées.
Entrez les informations de connexion du serveur Web.