Guida di IBM HTTP Server: LDAP

Richiamo informazioni LDAP - Non valido su HP o Linux

Introduzione e concetti

IBM HTTP Server supporta l'utilizzo di LDAP (Lightweight Directory Access Protocol), un protocollo che consente di accedere alla directory X.500 mediante una connessione TCP o SSL. LDAP consente di memorizzare le informazioni in un servizio di directory e di interrogarle in una modalità database. Quando si utilizzano le directory X.500 e LDAP, ogni applicazione abilitata a LDAP può memorizzare le informazioni una volta, ad esempio le informazioni sull'autentica di un utente, in modo che le altre applicazioni che utilizzano il server LDAP le riconoscano.

LDAP riduce le risorse di sistema necessarie includendo solo un sottoinsieme funzionale dell'originale DAP (Directory Access Protocol).

Il supporto LDAP di IBM HTTP Server LDAP è molto scalabile. Le configurazioni possibili di LDAP includono:

Questo manuale presuppone che l'utente disponga di un servizio di directory X.500 disponibile, ad esempio la directory IBM SecureWay X.500.

Panoramica su X.500

X.500 è un servizio di directory con componenti che forniscono una funzione di richiamo più efficiente. LDAP utilizza due di questi componenti: il modello di informazione, che determina la forma e il carattere, e lo spazio nome, che consente l'indicizzazione e la possibilità di fare riferimento alle informazioni.

La struttura di directory X.500 differisce dalle altre per il modo in cui le informazioni vengono memorizzate e richiamate. Le informazioni sono associate ad attributi. Un'interrogazione basata sugli attributi viene creata e inviata al server LDAP, che restituisce i rispettivi valori. LDAP utilizza un approccio semplice, basato sulle stringhe, per rappresentare le voci di directory.

Una directory X.500 consiste di voci, che vengono digitate a seconda dell'attributo ObjectClass. Ogni voce è composta di attributi. L'attributo ObjectClass identifica il tipo di voce (ad esempio persona e organizzazione) che determina quali attributi sono richiesti e quali sono facoltativi.

Le voci, disposte in una struttura ad albero, possono essere suddivise tra i server secondo un criterio organizzativo e geografico. Esse vengono denominate in base alla posizione all'interno della gerarchia organizzativa mediante un DN (Distinguished Name).

Panoramica su LDAP

L'accesso ad una directory X.500 richiede un determinato protocollo, ad esempio DAP (Directory Access Protocol). Tuttavia, DAP richiede grandi quantità di risorse di sistema e meccanismi di sopporto per gestire la complessità del protocollo. Per consentire alle stazioni di lavoro del desktop di accedere a X.500. è stato introdotto LDAP.

LDAP si basa su client/server e alcune delle risorse importanti necessarie ai client DAP sono gestite dal server LDAP. Un server LDAP può restituire al client solo risultati o errori, gravando poco sul client. Se un server X.500 non è in grado di rispondere a una richiesta del client, deve accodare la richiesta ad un altro server X.500. Il server deve completare la richiesta o restituire un errore al server LDAP, che, a sua volta, trasferisce le informazioni al client. LDAP (Lightweight Directory Access Protocol) è una directory di informazioni condivisa tra più macchine e applicazioni, in cui è possibile definire utenti e gruppi una volta sola. Il plugin di IBM HTTP Server LDAP consente di eseguire mediante la directory l'autenticazione e l'autorizzazione (entrambe richieste per accedere ad una risorsa protetta); in questo modo non è più necessario memorizzare localmente le informazioni relative a utenti e gruppi in ciascun server Web.

Interrogazione del server LDAP

Filtri di ricerca LDAP

LDAP accede alla directory X.500 mediante l'uso di stringhe leggibili da parte dell'utente. Quando queste stringhe di informazioni vengono trasferite al server LDAP, il server restituisce in nome distinto della voce.

Le voci LDAP vengono immesse, o classificate, da un attributo ObjectClass per semplificare le ricerche. Ad esempio, è possibile ricercare un indirizzario LDAP con objectclass=acl per individuare tutte le voci che corrispondono ad elenchi di controllo accessi.

Un filtro di ricerca per una voce LDAP ha la seguente struttura:

Per ulteriori informazioni sui filtri di ricerca LDAP, vedere RFC 1980.

Esempi di filtri LDAP

(cn=Mario Rossi)
ricerca il servizio di directory per il nome Mario Rossi. Le possibili corrispondenze sono:
Mario Rossi

(!(cn=Giovanna Bianchi))
interroga il servizio di directory per le voci il cui nome non è Giovanna Bianchi. Le possibili corrispondenze sono:
Gennaro Esposito
Davide Anselmi
Qualsiasi nome diverso da Giovanna Bianchi.

(&objectClass=acl)((sn=Di Giacomo)
interroga tutte le voci acl che corrispondono al cognome Di Giacomo. Le possibili corrispondenze sono:
Pietro Di Giacomo
Salvatore Di Giacomo

(o=univ*di*napoli*)
interroga l'attributo di interrogazione. Le possibili corrispondenze sono:
Università di Napoli Federico II
Università di Napoli Istituto Navale
Nota:LDAP può restituire più voci. Tuttavia, il server Web non eseguirà l'autentica se vengono restituite più voci. Se l'Università di Napoli Federico II e l'Università di Napoli - Istituto Navale sono state incluse nella directory interrogata da questo esempio, vengono restituite entrambe e l'autentica non riesce. Il filtro di ricerca deve essere modificato.

Configurazione di LDAP in IBM HTTP Server

Uso di LDAP per la protezione dei file

  1. Per definire in base all'utente: Avviare IBM Administration Server. Da Autorizzazioni di accesso > Accesso generale, inserire il file LdapConfigFile (C:/Programmi/IBM HTTP Server/conf/ldap.prop) nel campo LDAP: file di configurazione. Questo file è necessario per l'elaborazione.

    Immettere il nome dell'area di autenticazione relativo alla directory nel campo Nome dell'area di autenticazione.

    Per definire in base al gruppo:

    LDAPRequire group "group_name"
    Esempio: LDAPRequire group "Administrative Users"

    Per definire in base al filtro:

    LDAPRequire filter "ldap_search_filter"
    Esempio: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

    Nota: LDAPRequire funzionerà solo se viene inserito manualmente nel file httpd.conf.

  2. Per creare una connessione LDAP, è necessario fornire alcune informazioni sul server LDAP utilizzato. Modificare il file ldap properties (ldap.prop di esempio presente nella directory conf di HTTP Server) ed inserire le istruzioni applicabili:

  3. Fare clic su Inoltra per continuare o su Ripristina per cancellare il modulo.

Informazioni correlate

Introduzione a LDAP
Istruzioni LDAP