IBM HTTP Server のヘルプ : LDAP の使用法

LDAP 入門 - HP または Linux では無効

LDAP サーバー上でユーザー情報とグループ情報を使って、 ファイルやディレクトリーを保護する

ユーザーごとに定義する :

IBM Administration Server を開始します。 「アクセス許可」>「一般アクセス」の順で選択し、「LDAP: 構成ファイル」フィールドに LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop) と挿入してください。 これは必須ファイルです。

「認証レルム名」フィールドにディレクトリーに対する認証レルム名を入力します。

グループごとに定義する :

LDAPRequire group "group_name"
例 : LDAPRequire group "Administrative Users"

フィルターごとに定義する :

LDAPRequire filter "ldap_search_filter"
例 : LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

注 : LDAPRequire は、httpd.conf に手作業で挿入されていないと機能しません。

鍵リング・ファイルを使用する

LDAP サーバーとの通信に SSL を使用するように LDAP を構成する際に mod_ibm_ssl および mod_ibm_ldap を使用するためには、mod_ibm_sslmod_ibm_ldap の両方が同じ鍵リング・ファイルを使用していなければなりません。Web サーバーに対して SSL 接続を許可しており、 また Web サーバーと LDAP サーバーとの間のトランスポートとして SSL を使用している場合は、 (両方のモジュールに対して使用される) 鍵リング・ファイル を 1 つの鍵リング・ファイルにマージすることができます。 各モジュールの構成は、異なるデフォルト証明書を指定することができます。

SSL および LDAP モジュール

LDAP モジュールと LDAP Drectory Server の間で SSL を使用する場合は、書き込みアクセス権がキー・データベース・ファイルになければなりません。 キー・データベース・ファイルにはその人のアイデンティティーを確立するための証明書が含まれており、 またセキュア環境においては LDAP サーバーは Web サーバーに、 認証情報について LDAP サーバーを照会するために証明書を提供するよう要求することがあります。 キー・データベース・ファイルは、Web サーバーが実行に使用している Unix ユーザー ID によって書き込み可能でなければなりません。 たとえば、Web サーバーが Unix ID "user ID" で稼働されている場合ならば、 キー・データベース・ファイルはユーザー "user ID" によって所有されており、 書き込み許可をもっていなければなりません。

証明書はその人のアイデンティティーを確立するものです。ですから、その人の証明書が盗まれたり、 誰か他の人の証明書によって上書きされないようにすることが大切です。 誰かがキー・データベース・ファイルに対する書き込み許可をもっていた場合、 その人はユーザーの証明書を取り出して、そのユーザーになりすますことができます。 ですから、キー・データベース・ファイルの所有者以外、 誰もそのファイルに対して書き込み許可をもっていてはいけません。

LDAP モジュールでは stash ファイルが存在する場合でも、 ユーザーのキー・データベースに対するパスワードが要求されます。 ユーザーは ldapstash コマンドを使って、 キー・データベース・ファイルに対するパスワードが含まれた LDAP stash ファイルを作成します。

LDAP 接続を作成する

LDAP 接続を作成するには、使用する LDAP サーバーに関する情報を提供する必要があります。 ldap プロパティー・ファイル (HTTP Server conf ディレクトリーの中にサンプルの ldap.prop が見つかります) を編集してください。

IBM HTTP Server 上でサポートされる LDAP サーバー

関連情報

LDAP
LDAP ディレクティブ