IBM HTTP Server soporta el uso de Lightweight Directory Access Protocol (LDAP), un protocolo que proporciona acceso al directorio X.500 sobre una conexión TCP o SSL. LDAP le permite almacenar información en un servicio de directorios y consultarlo de forma similar a una base de datos. Cuando utiliza directorios X.500 y LDAP, cualquier aplicación habilitada para LDAP puede almacenar información una vez, tal como información de autentificación de usuarios, y otras aplicaciones que utilicen el servidor de LDAP la reconocerán.
LDAP reduce los recursos del sistema necesarios incluyendo sólo un subconjunto funcional de protocolos de acceso de directorios X.500 originales (DAP).
El soporte de LDAP de IBM HTTP Server es sumamente escalable. Tiene una serie de configuraciones de LDAP que incluyen:
Este manual presupone que se tiene un servicio de directorios X.500 existente, por ejemplo el directorio IBM SecureWay X.500.
X.500 es un servicio de directorios con componentes que proporciona una recuperación más eficiente. LDAP utiliza dos de estos componentes: el modelo de información, que determina la forma y el carácter, y el espacio de nombre, que permite que la información sea indexada y referenciada.
La estructura de directorios X.500 difiere de otras por la manera en que la información se almacena y recupera. La información se asocia con atributos. Se genera una consulta basada en atributos, se envía al servidor de LDAP y el servidor devuelve los valores respectivos. LDAP utiliza una perspectiva sencilla, basada en el segmento, para representar entradas de directorios.
Un directorio X.500 consiste en entradas, que se escriben según el atributo ObjectClass. Cada entrada se compone de atributos. El atributo ObjectClass identifica el tipo de entrada (por ejemplo, persona o organización), que determina qué atributos se necesitan y cuales son opcionales.
Las entradas, que se organizan en una estructura de árbol, se pueden dividir entre servidores en una distribución geográfica o organizativa. Se nombran según su posición en la jerarquía de distribución mediante un nombre distinguido (DN).
El acceso de un directorio X.500 requiere un protocolo específico, por ejemplo, Directory Access Protocol (DAP). Sin embargo, DAP requiere grandes cantidades de recursos del sistema y mecanismos de soporte para manejar la complejidad del protocolo. Para permitir a las estaciones de trabajo de escritorio acceder al X.500, se introdujo el LDAP.
LDAP está basado en la relación cliente/servidor y algunos de los fuertes recursos que los clientes DAP necesitan los maneja un servidor de LDAP. Un servidor LDAP sólo puede devolver resultados o errores al cliente, requiriendo poco del cliente. Si un servidor X.500 no puede responder una petición del cliente, debe encadenar la petición a otro servidor X.500. El servidor debe completar la petición o devolver un error el servidor LDAP, que a su vez pasa la información al cliente. LDAP (Lightweight Directory Access Protocol) es un directorio de información donde los usuarios y los grupos pueden definirse sólo una vez y compartirse a través de varias máquinas, así como también a través de varias aplicaciones. El plugin LDAP de IBM HTTP Server permite la autentificación y la autorización (obligatorias para acceder a un recurso protegido) que debe realizar el directorio, por lo que disminuye considerablemente la actividad general administrativa para mantener la información de usuario y de grupo localmente para cada servidor web.
LDAP accede al directorio X.500 a través de la utilización de segmentos en formato legible. Cuando estos segmentos de consulta se pasan al servidor LDAP, el servidor devuelve el nombre distinguido de la entrada.
Las entradas LDAP son escritas, o clasificadas, por un atributo ObjectClass para simplificar las búsquedas. Por ejemplo, se puede buscar en un directorio LDAP cuyo objectclass=acl para localizar todas las entradas que son listas de control de acceso.
Un filtro de búsqueda para una entrada LDAP tiene la estructura siguiente:
Para obtener más información sobre filtros de búsqueda de LDAP, consulte el RFC 1960.
Joe Smith
Joe Schmoe Adam Fosset cualquier nombre que no sea Jane Doe
Peter Johnson Davey Johnson
University of North Carolina Chapel Hill University of South Carolina
Nota: | LDAP puede devolver más de una entrada. Sin embargo, el servidor web no autentificará cuando se devuelvan múltiples entradas. Si la University of North Carolina y la University of South Carolina estuvieran incluidas en el directorio buscado en este ejemplo, ambas se devolverán y la autentificación fallará. Se debe alterar el filtro de búsqueda. |
Entre el nombre de área de autentificación para el directorio en el campo Nombre de área de autentificación.
Para establecer la definición según el grupo:
LDAPRequire group "nombre_grupo"
Ejemplo: LDAPRequire group "Usuarios administrativos"
Para definir por filtro:
LDAPRequire filter "filtro_búsqueda_ldap"
Ejemplo: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
Nota: LDAPRequire sólo funcionará si se inserta manualmente en httpd.conf.