IBM HTTP Server prend en charge l'utilisation du protocole Lightweight Directory Access Protocol (LDAP), protocole permettant d'accéder au composant X.500 via une connexion TCP ou SSL. LDAP permet de stocker des informations dans un service d'annuaire et de le consulter comme une base de données. Lorsque vous utilisez des annuaires X.500 et LDAP, toute application compatible LDAP peut y stocker des informations une fois pour toutes (par exemple, les données d'authentification d'utilisateurs). Dès lors, ces informations deviennent accessibles aux autres applications utilisant le même serveur LDAP.
Les besoins en ressources système de LDAP sont limités, car il n'utilise qu'un sous-ensemble fonctionnel du protocole DAP (Directory Access Protocol) X.500 original.
Le support LDAP d'HTML_PRODUCTS est très évolutif. Il existe plusieurs configurations LDAP :
Ce manuel suppose que vous disposez d'un service d'annuaire X.500 opérationnel, par exemple le service X.500 d'IBM SecureWay.
X.500 est un service d'annuaire qui possède des composants permettant une extraction plus efficace. LDAP utilise deux de ces composants : le modèle des informations, qui détermine forme et caractère, et l'espace nom, qui permet d'indexer et de référencer des informations.
La structure de l'annuaire X.500 diffère des autres quant à la façon dont les informations sont stockées et extraites. Les informations sont associées à des attributs. Une requête est générée en fonction des attributs et envoyée au serveur LDAP, puis le serveur renvoie les valeurs respectives. LDAP utilise une approche simple à base de chaînes pour représenter les entrées de l'annuaire.
Un annuaire X.500 se compose d'entrées, qui sont saisies en fonction de l'attribut ObjectClass. Chaque entrée est composée d'attributs. L'attribut ObjectClass identifie le type d'entrée (par exemple, une personne ou une entreprise), qui détermine quels sont les attributs obligatoires et facultatifs.
Les entrées, présentées sous forme d'arborescence, peuvent être réparties entre plusieurs serveurs selon un ordre géographique et organisationnel. Leur nom distinctif, ou DN (Distinguished Name), dépend de leur position à l'intérieur de la hiérarchie obtenue après répartition.
L'accès à un annuaire X.500 requiert un protocole spécifique, par exemple Directory Access Protocol (DAP). Cependant, DAP requiert une quantité importante de ressources système et des mécanismes de support visant à faire face à la complexité du protocole. Le serveur LDAP a été présenté pour permettre aux postes de travail d'accéder au protocole X.500.
LDAP est fondé sur une architecture client-serveur et certaines des ressources volumineuses requises par les clients DAP sont gérées par le serveur LDAP. Un serveur LDAP peut uniquement renvoyer au client des résultats ou des erreurs pour lesquels les actions utilisateur sont peu importantes. Si un serveur X.500 ne peut répondre à une demande d'un client, il doit la transmettre en chaîne à un autre serveur X.500. Le serveur doit alors traiter la demande ou renvoyer une erreur au serveur LDAP, qui à son tour transmet l'information au client. LDAP (Lightweight Directory Access Protocol) est un annuaire d'informations dans lequel les utilisateurs et les groupes peuvent être définis une seule fois et partagés entre plusieurs machines ou plusieurs applications. L'extension LDAP d'IBM HTTP Server permet à l'annuaire d'effectuer les opérations d'authentification et d'autorisation (requises lors de l'accès à une ressource protégée), ce qui réduit le temps système administratif nécessaire à la maintenance locale des informations concernant les utilisateurs et les groupes de chaque serveur.
LDAP accède à l'annuaire X.500 en utilisant des chaînes identifiables par l'utilisateur. Lorsque ces chaînes sont transmises au serveur LDAP, ce dernier renvoie le nom spécifique correspondant à l'entrée.
Les entrées LDAP sont saisies, ou classées, selon un attribut ObjectClass qui permet de simplifier les recherches. Par exemple, vous pouvez rechercher un annuaire LDAP comportant objectclass=lca pour identifier toutes les entrées correspondant à des listes de contrôle d'accès.
Un filtre de recherche pour une entrée LDAP possède la structure suivante :
Pour plus d'informations sur les filtres de recherche LDAP, reportez-vous à RFC 1960.
Paul Dupuis
Christophe Bertrand Marc Signol ou tout autre nom différent de Sophie Leroy
Hervé Durand Yves Durand
Université Paris 7 Université Paris 10
Remarque : | LDAP peut renvoyer plus d'une entrée. Cependant, aucune authentification ne sera effectuée par le serveur Web lorsque des entrées multiples sont renvoyées. Si l'Université Paris 7 et l'Université Paris 10 sont incluses dans l'annuaire interrogé dans l'exemple, la réponse concerne les deux organisations, et l'authentification échoue. Le filtre de recherche doit être modifié. |
Entrez le nom du domaine d'authentification pour l'annuaire dans la zone Nom du domaine d'authentification.
Définition par groupe :
LDAPRequire group "nom_groupe"
Exemple : LDAPRequire group "Utilisateurs administratifs"
Définition par filtre :
LDAPRequire filter "filtre_recherche_ldap"
Exemple : LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
Remarque : LDAPRequire ne fonctionne que
si elle est manuellement insérée dans httpd.conf.