Aide IBM HTTP Server - LDAP

Extraction d'informations LDAP - Non valide sous HP ou Linux

Introduction et concepts

IBM HTTP Server prend en charge l'utilisation du protocole Lightweight Directory Access Protocol (LDAP), protocole permettant d'accéder au composant X.500 via une connexion TCP ou SSL. LDAP permet de stocker des informations dans un service d'annuaire et de le consulter comme une base de données. Lorsque vous utilisez des annuaires X.500 et LDAP, toute application compatible LDAP peut y stocker des informations une fois pour toutes (par exemple, les données d'authentification d'utilisateurs). Dès lors, ces informations deviennent accessibles aux autres applications utilisant le même serveur LDAP.

Les besoins en ressources système de LDAP sont limités, car il n'utilise qu'un sous-ensemble fonctionnel du protocole DAP (Directory Access Protocol) X.500 original.

Le support LDAP d'HTML_PRODUCTS est très évolutif. Il existe plusieurs configurations LDAP :

Ce manuel suppose que vous disposez d'un service d'annuaire X.500 opérationnel, par exemple le service X.500 d'IBM SecureWay.

Présentation du protocole X.500

X.500 est un service d'annuaire qui possède des composants permettant une extraction plus efficace. LDAP utilise deux de ces composants : le modèle des informations, qui détermine forme et caractère, et l'espace nom, qui permet d'indexer et de référencer des informations.

La structure de l'annuaire X.500 diffère des autres quant à la façon dont les informations sont stockées et extraites. Les informations sont associées à des attributs. Une requête est générée en fonction des attributs et envoyée au serveur LDAP, puis le serveur renvoie les valeurs respectives. LDAP utilise une approche simple à base de chaînes pour représenter les entrées de l'annuaire.

Un annuaire X.500 se compose d'entrées, qui sont saisies en fonction de l'attribut ObjectClass. Chaque entrée est composée d'attributs. L'attribut ObjectClass identifie le type d'entrée (par exemple, une personne ou une entreprise), qui détermine quels sont les attributs obligatoires et facultatifs.

Les entrées, présentées sous forme d'arborescence, peuvent être réparties entre plusieurs serveurs selon un ordre géographique et organisationnel. Leur nom distinctif, ou DN (Distinguished Name), dépend de leur position à l'intérieur de la hiérarchie obtenue après répartition.

Présentation du serveur LDAP

L'accès à un annuaire X.500 requiert un protocole spécifique, par exemple Directory Access Protocol (DAP). Cependant, DAP requiert une quantité importante de ressources système et des mécanismes de support visant à faire face à la complexité du protocole. Le serveur LDAP a été présenté pour permettre aux postes de travail d'accéder au protocole X.500.

LDAP est fondé sur une architecture client-serveur et certaines des ressources volumineuses requises par les clients DAP sont gérées par le serveur LDAP. Un serveur LDAP peut uniquement renvoyer au client des résultats ou des erreurs pour lesquels les actions utilisateur sont peu importantes. Si un serveur X.500 ne peut répondre à une demande d'un client, il doit la transmettre en chaîne à un autre serveur X.500. Le serveur doit alors traiter la demande ou renvoyer une erreur au serveur LDAP, qui à son tour transmet l'information au client. LDAP (Lightweight Directory Access Protocol) est un annuaire d'informations dans lequel les utilisateurs et les groupes peuvent être définis une seule fois et partagés entre plusieurs machines ou plusieurs applications. L'extension LDAP d'IBM HTTP Server permet à l'annuaire d'effectuer les opérations d'authentification et d'autorisation (requises lors de l'accès à une ressource protégée), ce qui réduit le temps système administratif nécessaire à la maintenance locale des informations concernant les utilisateurs et les groupes de chaque serveur.

Consultation du serveur LDAP

Filtres de recherche LDAP

LDAP accède à l'annuaire X.500 en utilisant des chaînes identifiables par l'utilisateur. Lorsque ces chaînes sont transmises au serveur LDAP, ce dernier renvoie le nom spécifique correspondant à l'entrée.

Les entrées LDAP sont saisies, ou classées, selon un attribut ObjectClass qui permet de simplifier les recherches. Par exemple, vous pouvez rechercher un annuaire LDAP comportant objectclass=lca pour identifier toutes les entrées correspondant à des listes de contrôle d'accès.

Un filtre de recherche pour une entrée LDAP possède la structure suivante :

Pour plus d'informations sur les filtres de recherche LDAP, reportez-vous à RFC 1960.

Exemples de filtres de recherche LDAP

(cn=Paul Dupuis)
recherche dans le service d'annuaire le nom usuel Paul Dupuis. Les réponses possibles sont :
Paul Dupuis

(!(cn=Sophie Leroy))
interroge le service d'annuaire pour des entrées dont le nom usuel n'est pas Sophie Leroy. Les réponses possibles sont :
Christophe Bertrand
Marc Signol
ou tout autre nom différent de Sophie Leroy

(&objectClass=acl)((sn=Durand)
interroge toutes les entrées de listes de contrôle d'accès correspondant au nom Durand. Les réponses possibles sont :
Hervé Durand
Yves Durand

(o=univ*paris*)
recherche l'attribut d'organisation. Les réponses possibles sont :
Université Paris 7
Université Paris 10
Remarque :LDAP peut renvoyer plus d'une entrée. Cependant, aucune authentification ne sera effectuée par le serveur Web lorsque des entrées multiples sont renvoyées. Si l'Université Paris 7 et l'Université Paris 10 sont incluses dans l'annuaire interrogé dans l'exemple, la réponse concerne les deux organisations, et l'authentification échoue. Le filtre de recherche doit être modifié.

Configuration de LDAP sur IBM HTTP Server

Utilisation du serveur LDAP pour protéger des fichiers

  1. Définition par utilisateur : Lancez IBM Administration Server. Sélectionnez Droits d'accès > Accès général puis entrez LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop) dans la zone Fichier de configuration LDAP. Il est obligatoire de remplir cette zone.

    Entrez le nom du domaine d'authentification pour l'annuaire dans la zone Nom du domaine d'authentification.

    Définition par groupe :

    LDAPRequire group "nom_groupe"
    Exemple : LDAPRequire group "Utilisateurs administratifs"

    Définition par filtre :

    LDAPRequire filter "filtre_recherche_ldap"
    Exemple : LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

    Remarque : LDAPRequire ne fonctionne que si elle est manuellement insérée dans httpd.conf.

  2. Pour créer une connexion LDAP, vous devez fournir des informations concernant le serveur LDAP utilisé. Editez le fichier de propriétés ldap (fichier exemple ldap.prop se trouvant dans le répertoire conf d'HTTP Server) et insérez les directives applicables.

  3. Cliquez sur Soumission pour continuer ou sur Réinitialisation pour rétablir les valeurs par défaut du formulaire.

Informations connexes

Initiation à LDAP
Directives LDAP