IBM HTTP Server 帮助:LDAP 入门
LDAP 入门 - 在 HP 或 Linux 上无效
使用 LDAP 服务器上的用户或组信息保护文件或目录
要通过用户来定义:
启动 "IBM Administration Server"。转至“访问许可 > 一般访问”,并在“LDAP:配置文件”字段中插入 LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop)。这是一个必要的文件。
在“认证领域名”字段中输入目录的认证领域名。
要通过组来定义:
LDAPRequire group "group_name"
示例:LDAPRequire group "Administrative Users"
要通过过滤器来定义:
LDAPRequire filter "ldap_search_filter"
示例:LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
注:仅可使用手工插入到 httpd.conf 中的 LDAPRequire。
使用密钥环文件
当配置 LADP 以使用 SSL 和 LDAP 服务器通信时,为了要使用 mod_ibm_ssl 和 mod_ibm_ldap,mod_ibm_ssl 和 mod_ibm_ldap 必须使用相同的密钥环文件。
如果您允许使用 Web 服务器与 SSL 连接,并在 Web 服务器和 LDAP 服务器之间传送时使用 SSL,则这些密钥环文件(用于这两个模块)可以合并为一个密钥环文件。每个模块的配置都可以指定一个不同的缺省证书。
SSL 和 LDAP 模块
当在 LDAP 模块和 LDAP 目录服务器之间使用 SSL 时,密钥数据库文件必须有写许可权。
密钥数据库文件包含构建某个人身份的证书,并且在安全的环境下,LDAP 服务器可能还需要 Web 服务器提供证
书,以查询 LDAP 服务器获得有关认证信息。无论以哪个 Unix 用户标识运行,都必须可以对该密钥数据库文件进行写操作。
例如:如果 Web 服务器以 Unix 标识“用户标识”运行,则该密钥数据库文件由用户“用户标识”所有并且必须有写许可权。
证书构建某个用户的身份;因此,防止某个用户的证书被盗或被其他人的证书覆盖是很重要的。
如果某个人对密钥数据库拥有读许可权,则他就可以检索该用户的证书并冒充该用户。
因此,除了密钥数据库的所有者,其他人不能拥有对密钥数据库的读或写许可权。
LDAP 模块需要用户的密钥数据库的口令(即使存在存储文件)。用户必须使用 ldapstash 命令
创建包含密钥数据库口令的 LDAP 存储文件。
创建 LDAP 连接
要创建 LDAP 连接,您必须提供关于正在使用的 LDAP 服务器信息。
编辑 ldap 特性文件(HTTP Server conf 目录中的 ldap.prop 样本)并插入可应用的伪指令。
- 输入 Web 服务器连接信息。
- 输入客户机连接信息。
- 输入超时设置。
IBM HTTP Server 上支持的 LDAP 服务器
- Netscape Directory Server
- IBM SecureWay Directory Server
相关信息
LDAP
LDAP 伪指令