Protezione file o
directory che utilizzano informazioni su utenti o gruppi su un server
LDAP
Per definire in base all'utente:
Avviare IBM Administration Server. Da Autorizzazioni di accesso >
Accesso generale, inserire il file LdapConfigFile (C:/Programmi/IBM
HTTP Server/conf/ldap.prop) nel campo LDAP: file di configurazione. Questo file è necessario per
l'elaborazione.
Immettere il nome dell'area di autenticazione relativo alla directory
nel campo Nome dell'area di autenticazione.
Per definire in base al gruppo:
LDAPRequire group "group_name"
Esempio: LDAPRequire group "Administrative Users"
Nota: LDAPRequire funzionerà solo se viene inserito manualmente nel file httpd.conf.
Utilizzo di file di chiavi
Per poter utilizzare mod_ibm_ssl e
mod_ibm_ldap quando si configura
LDAP per utilizzare SSL per comunicare con il server
LDAP, sia mod_ibm_ssl che mod_ibm_ldapDEVONO utilizzare lo stesso file di chiavi.
Se si autorizzano le connessioni SSL al server Web e si
utilizza l'SSL come mezzo di comunicazione tra il server Web e il
server LDAP, i file di chiavi (utilizzati in entrambi i moduli)
possono essere uniti in un unico file di chiavi.
La configurazione di ciascun modulo potrà specificare un diverso
certificato predefinito.
Modulo SSL e LDAP
Quando si utilizza SSL tra il modulo LDAP e LDAP Directory Server,
il file di database di chiavi deve disporre dei permessi di
scrittura. Tale file contiene i
certificati che stabiliscono l'identità di un utente e, in
ambienti sicuri, il server LDAP può richiedere al server Web di
fornire un certificato per richiedere al server LDAP informazioni
di autenticazione.
E' necessario che sia possibile scrivere nel
file del database di chiavi, a prescindere dall'ID utente Unix in
esecuzione sul Web. Ad esempio, se il server Web è in esecuzione come
ID Unix "user ID", il file del database di chiavi dovrà essere
in possesso dell'utente "user ID" e dovrà disporre dell'accesso in
scrittura.
I certificati sono in grado di stabilire l'identità di un
utente; è molto importante, quindi, che non vengano
ricoperti da altri certificati.
Se un utente dispone dell'accesso in lettura al file del database di
chiavi di un altro utente, potrà richiamare i certificati e agire per
quell'utente. Quindi, nessuno eccetto il proprietario del file
del database di chiavi, dovrebbe avere accesso in scrittura o in
lettura a quel file.
Il modulo LDAP richiede la password per il database di chiavi dell'utente anche nel caso
in cui venga rilevato un file stash. E' necessario che l'utente utilizzi il comando ldapstash
per creare un file di stash LDAP che contenga la password per il file del database di chiavi.
Creazione di una connessione LDAP
Per creare una connessione LDAP, è necessario fornire alcune informazioni sul
server LDAP utilizzato.
Modificare il proprio file delle proprietà ldap (file di esempio
ldap.prop presente nella directory di configurazione HTTP Server)
e inserire le istruzioni applicabili.
Immettere le informazioni sulla connessione del server Web.
Immettere le informazioni sulla connessione del client.