Protección de archivos o
directorios que utilizan información de usuario o de grupo en
un servidor LDAP
Para establecer la definición según el usuario:
Arranque IBM Administration Server. Vaya a Permisos de acceso >
Acceso general e inserte el LdapConfigFile (C:/Archivos de
programa/IBM HTTP Server/conf/ldap.prop) en el campo Archivo de
configuración de LDAP. Es un archivo obligatorio.
Entre el nombre de área de autentificación para el directorio en el campo Nombre de área de autentificación.
Para establecer la definición según el grupo:
LDAPRequire group "nombre_grupo"
Ejemplo: LDAPRequire group "Usuarios administrativos"
Nota: LDAPRequire sólo funcionará si se inserta manualmente en httpd.conf.
Uso de archivos de claves
Para utilizar mod_ibm_ssl y mod_ibm_ldap al
configurar LDAP para utilizar SSL para establecer comunicación
con el servidor LDAP, tanto mod_ibm_ssl como
mod_ibm_ldapDEBEN utilizar el mismo
archivo de claves. Si permite conexiones SSL al servidor Web y también
utiliza SSL como el medio de transporte entre el servidor web y el servidor
LDAP, los archivos de claves (que se utilizan para ambos módulos) pueden
mezclarse en un sólo archivo.
La configuración de cada módulo puede especificar un certificado
por omisión distinto.
SSL y el módulo LDAP
Cuando se utilice SSL entre el módulo LDAP y el LDAP Directory Server, el
archivo de base de datos de claves debe tener permiso de
escritura. El archivo de base de datos de claves contiene los certificados
que establecen la identidad del usuario y, en un entorno seguro,
el servidor LDAP puede necesitar que el servidor Web proporcione un
certificado para consultar la información de autentificación en el
servidor LDAP.
El servidor Web, que se ejecute como cualquier ID de usuario
Unix, debe poder escribir en el archivo de base de datos de claves.
Por ejemplo, si el servidor Web se ejecuta como el ID de Unix
"ID de usuario", este ID debe ser el propietario del archivo de
base de datos de claves y debe tener permiso de escritura.
Los certificados establecen la identidad del usuario; por
consiguiente, es importante que los certificados de un usuario no
sean robados ni sobreescritos por los certificados de otro usuario.
Si alguien tiene permiso de lectura para el archivo de base de
datos de claves, puede recuperar los certificados del usuario y
hacerse pasar como tal.
Por lo tanto, nadie debe tener permiso de lectura o escritura
para el archivo de base de datos de claves, salvo su
propietario.
El módulo LDAP requiere la contraseña para la base de datos de
claves del usuario, aunque exista un archivo de almacenamiento.
El usuario debe utilizar el mandato ldapstash para crear un
archivo de almacenamiento LDAP que contenga la contraseña para
el archivo de base de datos de claves.
Creación de una conexión LDAP
Para crear una conexión LDAP, debe proporcionar información sobre
el servidor LDAP que se utiliza.
Edite el archivo de propiedades de ldap (por ejemplo, ldap.prop
que se encuentra en el directorio de configuración de HTTP Server)
e inserte las directivas aplicables.
Entre la información de conexión del servidor Web.