IBM HTTP Server ajuda: LDAP

Recuperando informações do LDAP - Inválidas no HP ou Linux

Introdução e Conceitos

IBM HTTP Server suporta a utilização de Lightweight Directory Access Protocol (LDAP), um protocolo que fornece acesso ao diretório X.500 por meio de uma conexão TCP ou SSL. O LDAP permite que você armazene informações em um serviço de diretórios e as consulte como em um banco de dados. Ao utilizar diretórios X.500 e LDAP, qualquer aplicativo ativado pelo LDAP poderá armazenar informações uma vez, como informações de autenticação de usuário, e outros aplicativos utilizando o servidor LDAP as reconhecerão.

O LDAP reduz as necessidades de recursos de sistema pela inclusão de somente um subconjunto funcional do protocolo original de acesso a diretórios (DAP) do X.500.

IBM HTTP Server O suporte LDAP é extremamente escalável. Há uma ampla escolha de configurações LDAP incluindo:

Este manual assume que você possua um serviço de diretório X.500 existente disponível, por exemplo o diretório IBM SecureWay X.500.

Visão Geral de X.500

X.500 é um serviço de diretórios com componentes que permitem uma recuperação mais eficiente. O LDAP usa dois destes componentes: o modelo de informações, que determina a forma e o caráter, e o espaço de nomes, que permite que as informações sejam indexadas e referenciadas.

A estrutura de diretórios X.500 difere de outras na forma em que as informações são armazenadas e recuperadas. As informações são associadas a atributos. Uma consulta baseada em atributos é gerada e enviada ao servidor LDAP, e o servidor retorna os valores respectivos. O LDAP usa uma abordagem simples baseada em cadeias para representar entradas de diretório.

Um diretório X.500 consiste de entradas, que possuem tipos que dependem do objeto ObjectClass. Cada entrada é composta de atributos. O atributo ObjectClass identifica o tipo de entrada (por exemplo, pessoa ou organização), determinando os atributos obrigatórios e os opcionais.

As entradas, que são arranjadas em uma estrutura em árvore, podem ser divididas entre servidores em uma distribuição geográfica e organizacional. São denominadas de acordo com sua posição dentro da hierarquia de distribuição por um nome distinto (DN).

Visão geral do LDAP

O acesso a um diretório do X.500 exige um certo protocolo, por exemplo, o DAP (Directory Access Protocol). No entanto, o DAP requer grandes quantidades de recursos do sistema e mecanismos de suporte para manejar a complexidade do protocolo. O LDAP foi introduzido para permitir o acesso ao X.500 a partir de estações de trabalho de mesa.

O LDAP é baseado em cliente/servidor, e alguns dos recursos pesados requeridos pelos clientes LDAP são tratados pelo servidor LDAP. Um servidor LDAP pode apenas retornar resultados ou erros ao cliente, que requerem pouco do cliente. Se um servidor X.500 for incapaz de responder a uma solicitação do cliente, ele deve encadear a solicitação a outro servidor X.500. O servidor deve completar a solicitação ou retornar um erro ao servidor LDAP, o qual por sua vez passa a informação ao cliente. LDAP (Lightweight Directory Access Protocol) é um diretório de informações em que usuários e grupos podem ser definidos somente uma vez e compartilhados em várias máquinas e aplicativos. O plugin LDAP do IBM HTTP Server permite que a autenticação e a autorização (que é solicitada quando se acessa um recurso protegido) sejam executadas pelo diretório, reduzindo assim grande parte da sobrecarga administrativa da manutenção de informações sobre grupos e usuários para cada servidor Web.

Consulta do servidor LDAP

Filtros de pesquisa do LDAP

O LDAP acessa o diretório X.500 através do uso de cadeias legíveis. Quando essas cadeias de consulta são passadas ao servidor LDAP, este retorna o nome distinto da entrada.

As entradas LDAP recebem tipos, ou são classificadas, por um atributo ObjectClass para simplificar as pesquisas. Po exemplo, você poderia pesquisar um diretório LDAP cuja objectclass=acl para localizar todas as entradas que são listas de controle de acesso.

Um filtro de pesquisa para uma entrada LDAP tem a seguinte estrutura:

Para maiores informações sobre filtros de pesquisa do LDAP, consulte o RFC 1960.

Exemplos de filtros de pesquisa do LDAP

(cn=Joe Smith)
pesquisa no serviço de diretórios o nome comum Joe Smith. Possíveis correspondências:
Joe Smith

(!(cn=Jane Doe))
pesquisa no serviço de diretórios entradas cujo nome comum não é Jane Doe. Possíveis correspondências:
Joe Schmoe
Adam Fosset
qualquer nome diferente de Jane Doe

(&objectClass=acl)((sn=Johnson)
pesquisa todas as entradas acl que correspondem a um sobrenome de Johnson. Possíveis correspondências:
Peter Johnson
Davey Johnson

(o=univ*of*carolin*)
pesquisa o atributo organização. Possíveis correspondências:
University of North Carolina Chapel Hill
University of South Carolina
Nota: O LDAP pode retornar mais de uma entrada. No entanto, o servidor Web não irá autenticar quando forem retornadas múltiplas entradas. Se University of North Carolina e University of South Carolina estiverem incluídas no diretório consultado por este exemplo, ambas serão retornadas, e a autenticação falhará. O filtro de pesquisa deve ser alterado.

Configurando o LDAP em IBM HTTP Server

Utilização do LDAP para proteger arquivos

  1. Para definir por usuário: Inicie o IBM Administration Server. Vá para Permissões de Acesso > Acesso Geral e insira o arquivo de configuração do LDAP (C:/Arquivos de Programas/IBM HTTP Server/conf/ldap.prop) no campo Arquivo de configuração do LDAP. Este é um arquivo obrigatório.

    Digite o nome do domínio de autenticação do diretório no campo Nome do domínio de autenticação.

    Para definir por grupo:

    LDAPRequire group "nome_do_grupo"
    Exemplo: LDAPRequire group "Usuários Administrativos"

    Para definir por filtro:

    LDAPRequire filter "filtro_de_pesquisa_ldap"
    Exemplo: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

    Nota: LDAPRequire só irá funcionar se ele for inserido manualmente em httpd.conf.

  2. Para criar uma conexão LDAP, você deve fornecer as informações sobre o servidor LDAP sendo usado. Edite seu arquivo de propriedades ldap (há uma amostra de ldap.prop no diretório conf do HTTP Server) e insira as diretivas aplicáveis:

  3. Clique em Submeter para continuar ou em Redefinir para limpar o formulário.

Informações relacionadas

Informações Iniciais do LDAP
Diretivas LDAP