Aide IBM HTTP Server - Initiation à LDAP

Initiation à LDAP - Non valide sous HP ou Linux

Protection des fichiers ou des répertoires à l'aide des définitions d'utilisateurs et de groupes d'un serveur LDAP

Définition par utilisateur :

Lancez IBM Administration Server. Sélectionnez Droits d'accès > Accès général puis entrez LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop) dans la zone Fichier de configuration LDAP. Il est obligatoire de remplir cette zone.

Entrez le nom du domaine d'authentification de l'annuaire dans la zone Nom du domaine d'authentification.

Définition par groupe :

LDAPRequire group "nom_groupe"
Exemple : LDAPRequire group "Utilisateurs administratifs"

Définition par filtre :

LDAPRequire filter "filtre_recherche_ldap"
Exemple : LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

Remarque : LDAPRequire ne fonctionne que si elle est insérée manuellement dans httpd.conf.

Utilisation de fichiers de clés

Pour que les modules mod_ibm_ssl et mod_ibm_ldap puissent être utilisés en vue de communiquer avec le serveur LDAP via une connexion SSL, ils doivent obligatoirement partager le même fichier de clés (keyring). Si vous autorisez les connexions SSL au serveur Web et que vous utilisez également une liaison SSL comme moyen de transport entre le serveur Web et le serveur LDAP, les fichiers de clés (qui sont utilisés pour les deux modules) peuvent être fusionnés dans un seul fichier. La configuration de chaque module peut désigner un certificat par défaut différent.

SSL et le module LDAP

En cas d'utilisation du protocole SSL entre le module LDAP et le serveur d'annuaire LDAP, le fichier de la base de données de clés doit être accessible en écriture. La base de données de clés contient les certificats qui établissent l'identité de chaque individu. Or, dans un environnement sécurisé, le serveur LDAP peut exiger du serveur Web qu'il lui fournisse un certificat préalablement à la consultation de ses informations d'authentification. Le fichier de la base de données de clés doit être accessible en écriture à l'ID utilisateur Unix sous lequel s'exécute le serveur Web. Par exemple, si le serveur Web s'exécute sous l'ID Unix "ID utilisateur", le fichier de la base de données de clés doit appartenir à l'utilisateur "ID utilisateur" et celui-ci doit pouvoir y accéder en écriture.

Les certificats établissent l'identité d'un individu. Par conséquent, il est important que les certificats d'un individu ne soient ni volés ni remplacés par ceux d'un autre individu. Si une personne a des droits en lecture sur le fichier de la base de données de clés, elle peut en extraire les certificats d'un utilisateur et se faire passer pour celui-ci. C'est pourquoi personne ne doit avoir accès en lecture ou en écriture au fichier de la base de données de clés, hormis son propriétaire.

Le module LDAP exige le mot de passe d'accès à la base de données de clés de l'utilisateur, même s'il existe un fichier de dissimulation (stash) pour ce mot de passe. L'utilisateur doit recourir à la commande ldapstash pour créer un fichier de dissimulation LDAP contenant le mot de passe d'accès à sa base de données de clés.

Création d'une connexion LDAP

Pour créer une connexion LDAP, vous devez fournir des informations concernant le serveur LDAP utilisé. Editez le fichier de propriétés ldap (fichier exemple ldap.prop se trouvant dans le répertoire conf de HTTP Server) et insérez-y les directives appropriées.

Serveurs LDAP acceptés par IBM HTTP Server

Informations connexes

LDAP
Directives LDAP