Der IBM HTTP Server unterstützt die Verwendung von LDAP (Lightweight Directory Access Protocol). LDAP ist ein Protokoll, das den Zugriff auf das X.500-Verzeichnis über eine TCP- oder SSL-Verbindung ermöglicht. Mit LDAP können Sie Informationen in einem Verzeichnisservice speichern und diese Daten wie bei einer Datenbank abfragen. Wenn Sie X.500-Verzeichnisse und LDAP verwenden, können alle LDAP-aktivierten Anwendungen Informationen, wie z. B. Daten zur Benutzerauthentifizierung, einmal speichern, und andere Anwendungen, die den LDAP-Server verwenden, können diese Daten dann erkennen.
LDAP vermindert die erforderlichen Systemressourcen, indem es nur eine Untergruppe des ursprünglichen X.500-Protokolls DAP (Directory Access Protocol) verwendet.
Die LDAP-Unterstützung des HTML_PRODUCTS ist in hohem Maße skalierbar. Ihnen steht eine Reihe von LDAP-Konfigurationen zur Verfügung. Dazu gehören unter anderem:
In diesen Anweisungen wird davon ausgegangen, dass Sie bereits einen X.500-Verzeichnisservice, z. B. das X.500-Verzeichnis von IBM SecureWay, besitzen.
X.500 ist ein Verzeichnis mit Komponenten, die Ihnen effizientere Abfragemöglichkeiten bieten. LDAP verwendet zwei dieser Komponenten: das Informationsmodell, das das Format und den Charakter bestimmt, und den Namensbereich, mit dem Informationen indexiert und referenziert werden können.
Die X.500-Verzeichnisstruktur unterscheidet sich von anderen Verzeichnisstrukturen in der Art, in der die Informationen gespeichert und abgerufen werden. Den Informationen sind Attribute zugeordnet. Auf der Basis dieser Attribute wird eine Abfrage generiert und an den LDAP-Server gesendet. Der Server liefert dann die entsprechenden Werte zurück. LDAP verwendet eine einfache zeichenfolgebasierte Lösung für die Darstellung von Verzeichniseinträgen.
Ein X.500-Verzeichnis besteht aus Einträgen, die abhängig vom Attribut ObjectClass eingegeben werden. Jeder Eintrag setzt sich aus Attributen zusammen. Das Attribut "ObjectClass" gibt die Art des Eintrags an (z. B. Person oder Organisation), die festlegt, welche Attribute erforderlich und welche wahlfrei sind.
Einträge, die in einer Baumstruktur angeordnet sind, können von Servern, die geografisch und organisatorisch voneinander getrennt sind, gemeinsam verwendet werden. Ihnen wird je nach Position in der Verteilungshierarchie ein registrierter Name (DN, Distinguished Name) zugeordnet.
Für den Zugriff auf ein X.500-Verzeichnis ist ein bestimmtes Protokoll erforderlich, z. B. DAP (Directory Access Protocol). Aufgrund der Komplexität des Protokolls erfordert DAP jedoch umfangreiche Systemressourcen und Unterstützungsmechanismen. LDAP wurde eingeführt, damit auch Desktop-Workstations auf X.500 zugreifen können.
LDAP ist Client/Server-basiert. Einige der von DAP-Clients benötigten wichtigen Ressourcen werden vom LDAP-Server verarbeitet. Ein LDAP-Server kann dem Client nur Ergebnisse und Fehler zurückgeben und fordert nur wenig vom Client. Wenn ein X.500-Server eine Client-Anforderung nicht beantworten kann, muss er die Anforderung an einen anderen X.500-Server weiterleiten. Der Server muss die Anforderung bearbeiten oder einen Fehler an den LDAP-Server zurückgeben, der diese Informationen wiederum an den Client sendet. LDAP (Lightweight Directory Access Protocol) ist ein Informationsverzeichnis, in dem Benutzer und Gruppen einmal definiert und dann auf mehreren Maschinen und in mehreren Anwendungen verwendet werden können. Das LDAP-Plug-In für den IBM HTTP Server ermöglicht die Authentifizierung und Berechtigungsprüfung (die beim Zugriff auf eine geschützte Ressource erforderlich sind) durch das Verzeichnis. Dadurch wird der Verwaltungsaufwand bei der lokalen Verwaltung von Benutzer- und Gruppendaten für die einzelnen Web-Server erheblich verringert.
LDAP greift mit lesbaren Zeichenfolgen auf das X.500-Verzeichnis zu. Wenn diese Abfragezeichenfolgen an den LDAP-Server übergeben werden, gibt der Server den registrierten Namen des Eintrag zurück.
LDAP-Einträge werden über das Attribut ObjectClass eingegeben oder klassifiziert, wodurch Suchvorgänge vereinfacht werden. Sie können beispielsweise ein LDAP-Verzeichnis mit der Objektklasse "acl" (objectclass=acl) durchsuchen, um alle Einträge zu suchen, bei denen es sich um Zugriffssteuerungslisten (ACL, Access Control List) handelt.
Ein Suchfilter für einen LDAP-Eintrag hat die folgende Struktur:
Weitere Informationen zu LDAP-Suchfiltern finden Sie in RFC 1960.
Joe Smith
Joe Schmoe Adam Fosset Alle anderen Namen außer Jane Doe
Peter Johnson Davey Johnson
University of North Carolina Chapel Hill University of South Carolina
Anmerkung: | LDAP kann mehrere Einträge zurückgeben. Der Web-Server kann die Authentifizierung jedoch nicht durchführen, wenn mehrere Einträge zurückgegeben werden. Wenn sowohl University of North Carolina als auch University of South Carolina in dem mit dieser Beispielabfrage durchsuchten Verzeichnis enthalten sind, werden beide Einträge zurückgeliefert. Daraufhin würde die Authentifizierung fehlschlagen. Der Suchfilter muss geändert werden. |
Geben Sie im Feld "Name des Authentifizierungsbereichs" den Namen für Namen des Authentifizierungsbereichs für das Verzeichnis ein.
Gehen Sie zur Definition mit Hilfe von Gruppeninformationen wie folgt vor:
LDAPRequire group "Gruppenname"
Beispiel: LDAPRequire group "Benutzer mit Verwaltungsaufgaben"
Gehen Sie zur Definition mit Hilfe von Filtern wie folgt vor:
LDAPRequire filter "ldap-Suchfilter"
Beispiel: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
Anmerkung: LDAPRequire funktioniert nur, wenn diese
Anweisung in die Datei "httpd.conf" eingefügt wird.