Ayuda para IBM HTTP Server: Iniciación a LDAP

Iniciación a LDAP - No válido en HP o Linux

Protección de archivos o directorios que utilizan información de usuario o de grupo en un servidor LDAP

Para establecer la definición según el usuario:

Arranque IBM Administration Server. Vaya a Permisos de acceso > Acceso general e inserte el LdapConfigFile (C:/Archivos de programa/IBM HTTP Server/conf/ldap.prop) en el campo Archivo de configuración de LDAP. Es un archivo obligatorio.

Entre el nombre de área de autentificación para el directorio en el campo Nombre de área de autentificación.

Para establecer la definición según el grupo:

LDAPRequire group "nombre_grupo"
Ejemplo: LDAPRequire group "Usuarios administrativos"

Para definir por filtro:

LDAPRequire filter "filtro_búsqueda_ldap"
Ejemplo: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

Nota: LDAPRequire sólo funcionará si se inserta manualmente en httpd.conf.

Uso de archivos de claves

Para utilizar mod_ibm_ssl y mod_ibm_ldap al configurar LDAP para utilizar SSL para establecer comunicación con el servidor LDAP, tanto mod_ibm_ssl como mod_ibm_ldap DEBEN utilizar el mismo archivo de claves. Si permite conexiones SSL al servidor Web y también utiliza SSL como el medio de transporte entre el servidor web y el servidor LDAP, los archivos de claves (que se utilizan para ambos módulos) pueden mezclarse en un sólo archivo. La configuración de cada módulo puede especificar un certificado por omisión distinto.

SSL y el módulo LDAP

Cuando se utilice SSL entre el módulo LDAP y el LDAP Directory Server, el archivo de base de datos de claves debe tener permiso de escritura. El archivo de base de datos de claves contiene los certificados que establecen la identidad del usuario y, en un entorno seguro, el servidor LDAP puede necesitar que el servidor Web proporcione un certificado para consultar la información de autentificación en el servidor LDAP. El servidor Web, que se ejecute como cualquier ID de usuario Unix, debe poder escribir en el archivo de base de datos de claves. Por ejemplo, si el servidor Web se ejecuta como el ID de Unix "ID de usuario", este ID debe ser el propietario del archivo de base de datos de claves y debe tener permiso de escritura.

Los certificados establecen la identidad del usuario; por consiguiente, es importante que los certificados de un usuario no sean robados ni sobreescritos por los certificados de otro usuario. Si alguien tiene permiso de lectura para el archivo de base de datos de claves, puede recuperar los certificados del usuario y hacerse pasar como tal. Por lo tanto, nadie debe tener permiso de lectura o escritura para el archivo de base de datos de claves, salvo su propietario.

El módulo LDAP requiere la contraseña para la base de datos de claves del usuario, aunque exista un archivo de almacenamiento. El usuario debe utilizar el mandato ldapstash para crear un archivo de almacenamiento LDAP que contenga la contraseña para el archivo de base de datos de claves.

Creación de una conexión LDAP

Para crear una conexión LDAP, debe proporcionar información sobre el servidor LDAP que se utiliza. Edite el archivo de propiedades de ldap (por ejemplo, ldap.prop que se encuentra en el directorio de configuración de HTTP Server) e inserte las directivas aplicables.

Servidores LDAP soportados en IBM HTTP Server

Información relacionada

LDAP
Directivas LDAP