Hilfe zum IBM HTTP Server: LDAP

LDAP-Informationen abrufen - Nicht gültig unter HP oder Linux

Einführung und Konzepte

Der IBM HTTP Server unterstützt die Verwendung von LDAP (Lightweight Directory Access Protocol). LDAP ist ein Protokoll, das den Zugriff auf das X.500-Verzeichnis über eine TCP- oder SSL-Verbindung ermöglicht. Mit LDAP können Sie Informationen in einem Verzeichnisservice speichern und diese Daten wie bei einer Datenbank abfragen. Wenn Sie X.500-Verzeichnisse und LDAP verwenden, können alle LDAP-aktivierten Anwendungen Informationen, wie z. B. Daten zur Benutzerauthentifizierung, einmal speichern, und andere Anwendungen, die den LDAP-Server verwenden, können diese Daten dann erkennen.

LDAP vermindert die erforderlichen Systemressourcen, indem es nur eine Untergruppe des ursprünglichen X.500-Protokolls DAP (Directory Access Protocol) verwendet.

Die LDAP-Unterstützung des HTML_PRODUCTS ist in hohem Maße skalierbar. Ihnen steht eine Reihe von LDAP-Konfigurationen zur Verfügung. Dazu gehören unter anderem:

In diesen Anweisungen wird davon ausgegangen, dass Sie bereits einen X.500-Verzeichnisservice, z. B. das X.500-Verzeichnis von IBM SecureWay, besitzen.

Übersicht über X.500

X.500 ist ein Verzeichnis mit Komponenten, die Ihnen effizientere Abfragemöglichkeiten bieten. LDAP verwendet zwei dieser Komponenten: das Informationsmodell, das das Format und den Charakter bestimmt, und den Namensbereich, mit dem Informationen indexiert und referenziert werden können.

Die X.500-Verzeichnisstruktur unterscheidet sich von anderen Verzeichnisstrukturen in der Art, in der die Informationen gespeichert und abgerufen werden. Den Informationen sind Attribute zugeordnet. Auf der Basis dieser Attribute wird eine Abfrage generiert und an den LDAP-Server gesendet. Der Server liefert dann die entsprechenden Werte zurück. LDAP verwendet eine einfache zeichenfolgebasierte Lösung für die Darstellung von Verzeichniseinträgen.

Ein X.500-Verzeichnis besteht aus Einträgen, die abhängig vom Attribut ObjectClass eingegeben werden. Jeder Eintrag setzt sich aus Attributen zusammen. Das Attribut "ObjectClass" gibt die Art des Eintrags an (z. B. Person oder Organisation), die festlegt, welche Attribute erforderlich und welche wahlfrei sind.

Einträge, die in einer Baumstruktur angeordnet sind, können von Servern, die geografisch und organisatorisch voneinander getrennt sind, gemeinsam verwendet werden. Ihnen wird je nach Position in der Verteilungshierarchie ein registrierter Name (DN, Distinguished Name) zugeordnet.

Übersicht über LDAP

Für den Zugriff auf ein X.500-Verzeichnis ist ein bestimmtes Protokoll erforderlich, z. B. DAP (Directory Access Protocol). Aufgrund der Komplexität des Protokolls erfordert DAP jedoch umfangreiche Systemressourcen und Unterstützungsmechanismen. LDAP wurde eingeführt, damit auch Desktop-Workstations auf X.500 zugreifen können.

LDAP ist Client/Server-basiert. Einige der von DAP-Clients benötigten wichtigen Ressourcen werden vom LDAP-Server verarbeitet. Ein LDAP-Server kann dem Client nur Ergebnisse und Fehler zurückgeben und fordert nur wenig vom Client. Wenn ein X.500-Server eine Client-Anforderung nicht beantworten kann, muss er die Anforderung an einen anderen X.500-Server weiterleiten. Der Server muss die Anforderung bearbeiten oder einen Fehler an den LDAP-Server zurückgeben, der diese Informationen wiederum an den Client sendet. LDAP (Lightweight Directory Access Protocol) ist ein Informationsverzeichnis, in dem Benutzer und Gruppen einmal definiert und dann auf mehreren Maschinen und in mehreren Anwendungen verwendet werden können. Das LDAP-Plug-In für den IBM HTTP Server ermöglicht die Authentifizierung und Berechtigungsprüfung (die beim Zugriff auf eine geschützte Ressource erforderlich sind) durch das Verzeichnis. Dadurch wird der Verwaltungsaufwand bei der lokalen Verwaltung von Benutzer- und Gruppendaten für die einzelnen Web-Server erheblich verringert.

LDAP-Server abfragen

LDAP-Suchfilter

LDAP greift mit lesbaren Zeichenfolgen auf das X.500-Verzeichnis zu. Wenn diese Abfragezeichenfolgen an den LDAP-Server übergeben werden, gibt der Server den registrierten Namen des Eintrag zurück.

LDAP-Einträge werden über das Attribut ObjectClass eingegeben oder klassifiziert, wodurch Suchvorgänge vereinfacht werden. Sie können beispielsweise ein LDAP-Verzeichnis mit der Objektklasse "acl" (objectclass=acl) durchsuchen, um alle Einträge zu suchen, bei denen es sich um Zugriffssteuerungslisten (ACL, Access Control List) handelt.

Ein Suchfilter für einen LDAP-Eintrag hat die folgende Struktur:

Weitere Informationen zu LDAP-Suchfiltern finden Sie in RFC 1960.

Beispiele für LDAP-Suchfilter

(cn=Joe Smith)
Durchsucht den Verzeichnisservice nach dem allgemeinen Namen Joe Smith. Mögliche Übereinstimmungen sind:
Joe Smith

(!(cn=Jane Doe))
Durchsucht den Verzeichnisservice nach Einträgen, deren allgemeiner Name nicht mit Jane Doe übereinstimmt. Mögliche Übereinstimmungen sind:
Joe Schmoe
Adam Fosset
Alle anderen Namen außer Jane Doe

(&objectClass=acl)((sn=Johnson)
Sucht alle ACL-Einträge, die den Familiennamen Johnson enthalten. Mögliche Übereinstimmungen sind:
Peter Johnson
Davey Johnson

(o=univ*of*carolin*)
Fragt das Organisationsattribut ab. Mögliche Übereinstimmungen sind:
University of North Carolina Chapel Hill
University of South Carolina
Anmerkung:LDAP kann mehrere Einträge zurückgeben. Der Web-Server kann die Authentifizierung jedoch nicht durchführen, wenn mehrere Einträge zurückgegeben werden. Wenn sowohl University of North Carolina als auch University of South Carolina in dem mit dieser Beispielabfrage durchsuchten Verzeichnis enthalten sind, werden beide Einträge zurückgeliefert. Daraufhin würde die Authentifizierung fehlschlagen. Der Suchfilter muss geändert werden.

LDAP auf dem IBM HTTP Server konfigurieren

LDAP zum Schützen von Dateien verwenden

  1. Gehen Sie zur Definition mit Hilfe von Benutzerinformationen wie folgt vor: Starten Sie den IBM Verwaltungs-Server. Rufen Sie das Formular "Zugriffsberechtigungen > Allgemeiner Zugriff" auf und fügen Sie im Feld "LDAP: Konfigurationsdatei" die LDAP-Konfigurationsdatei "C:/Programme/IBM HTTP Server/conf/ldap.prop" ein. Diese Datei muss angegeben werden.

    Geben Sie im Feld "Name des Authentifizierungsbereichs" den Namen für Namen des Authentifizierungsbereichs für das Verzeichnis ein.

    Gehen Sie zur Definition mit Hilfe von Gruppeninformationen wie folgt vor:

    LDAPRequire group "Gruppenname"
    Beispiel: LDAPRequire group "Benutzer mit Verwaltungsaufgaben"

    Gehen Sie zur Definition mit Hilfe von Filtern wie folgt vor:

    LDAPRequire filter "ldap-Suchfilter"
    Beispiel: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

    Anmerkung: LDAPRequire funktioniert nur, wenn diese Anweisung in die Datei "httpd.conf" eingefügt wird.

  2. Sie müssen zum Erstellen einer LDAP-Verbindung Informationen über den verwendeten LDAP-Server angeben. Editieren Sie die LDAP-Eigenschaftsdatei (Sie finden eine Beispieldatei "ldap.prop" im Konfigurationsverzeichnis des HTTP Server) und fügen Sie die entsprechenden Anweisungen ein.

  3. Klicken Sie auf Übergeben, um fortzufahren, oder klicken Sie auf Zurücksetzen, um den Inhalt des Formulars zu löschen.

Zugehörige Informationen

Erste Schritte mit LDAP
LDAP-Anweisungen