Hilfe zum IBM HTTP Server: Erste Schritte mit LDAP

Erste Schritte mit LDAP - Nicht gültig unter HP oder Linux

Dateien und Verzeichnisse mit Hilfe von Benutzer- und Gruppeninformationen auf einem LDAP-Server schützen

Gehen Sie zur Definition mit Hilfe von Benutzerinformationen wie folgt vor:

Starten Sie den IBM Verwaltungs-Server. Rufen Sie das Formular "Zugriffsberechtigungen > Allgemeiner Zugriff" auf und fügen Sie im Feld "LDAP: Konfigurationsdatei" die LDAP-Konfigurationsdatei "C:/Programme/IBM HTTP Server/conf/ldap.prop" ein. Diese Datei muss angegeben werden.

Geben Sie im Feld "Name des Authentifizierungsbereichs" den Namen für Namen des Authentifizierungsbereichs für das Verzeichnis ein.

Gehen Sie zur Definition mit Hilfe von Gruppeninformationen wie folgt vor:

LDAPRequire group "Gruppenname"
Beispiel: LDAPRequire group "Benutzer mit Verwaltungsaufgaben"

Gehen Sie zur Definition mit Hilfe von Filtern wie folgt vor:

LDAPRequire filter "ldap-Suchfilter"
Beispiel: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

Anmerkung: LDAPRequire funktioniert nur, wenn diese Anweisung in die Datei "httpd.conf" eingefügt wird.

Schlüsseldateien verwenden

Wenn Sie mod_ibm_ssl und mod_ibm_ldap bei der Konfiguration von LDAP verwenden möchten, um SSL für die Kommunikation mit dem LDAP-Server einzusetzen, MÜSSEN mod_ibm_ssl und mod_ibm_ldap dieselbe Schlüsseldatei benutzen. Sollten Sie SSL-Verbindungen zum Web-Server zulassen und außerdem SSL als Transportprotokoll zwischen dem Web-Server und dem LDAP-Server einsetzen, können die für die beiden Module verwendeten Schlüsseldateien zu einer Schlüsseldatei zusammengefasst werden. In der Konfiguration der Module können unterschiedliche Standardzertifikate angegeben sein.

SSL und das LDAP-Modul

Falls SSL für die Kommunikation zwischen dem LDAP-Modul und dem LDAP-Verzeichnis-Server verwendet wird, muss der Schreibzugriff auf die Schlüsseldatenbankdatei möglich sein. Die Schlüsseldatenbankdatei enthält die Zertifikate, die die Identität der Benutzer belegen. In einer geschützten Umgebung benötigt der LDAP-Server möglicherweise einen Web-Server für die Bereitstellung eines Zertifikats, um die Authentifizierungsdaten vom LDAP-Server abzurufen. Der UNIX-Benutzer, unter dessen ID der Web-Server ausgeführt wird, muss in die Schlüsseldatenbankdatei schreiben können. Beispiel: Wenn der Web-Server unter der UNIX-ID "Benutzer-ID" ausgeführt wird, muss "Benutzer-ID" Eigner der Datei sein und über Schreibberechtigung verfügen.

Zertifikate belegen die Identität von Benutzern. Deshalb muss unbedingt verhindert werden, dass die Zertifikate gestohlen oder durch die Zertifikate anderer Benutzer überschrieben werden. Wenn ein Benutzer Lesezugriff auf die Schlüsseldatenbankdatei hat, kann dieser die Zertifikate eines anderen Benutzers abrufen und sich damit als der andere Benutzer ausgeben. Aus diesem Grund sollte nur der Eigner der Schlüsseldatenbank Lese- und Schreibzugriff auf diese Datei haben.

Das LDAP-Modul benötigt das Kennwort für die Schlüsseldatenbank des Benutzers auch dann, wenn eine versteckt gespeicherte Datei vorhanden ist. Der Benutzer muss mit dem Befehl "ldapstash" eine versteckt gespeicherte LDAP-Datei mit dem Kennwort für die Schlüsseldatenbankdatei erstellen.

LDAP-Verbindung herstellen

Sie müssen zum Erstellen einer LDAP-Verbindung Informationen über den verwendeten LDAP-Server angeben. Rufen Sie die LDAP-Eigenschaftsdatei (eine Beispieldatei "ldap.prop" befindet sich im Konfigurationsverzeichnis "conf" des IBM HTTP Server) in einem Editor auf und fügen Sie die entsprechenden Anweisungen ein.

Auf dem IBM HTTP Server unterstützte LDAP-Server

Zugehörige Informationen

LDAP
LDAP-Anweisungen