IBM HTTP Server suporta a utilização de Lightweight Directory Access Protocol (LDAP), um protocolo que fornece acesso ao diretório X.500 por meio de uma conexão TCP ou SSL. O LDAP permite que você armazene informações em um serviço de diretórios e as consulte como em um banco de dados. Ao utilizar diretórios X.500 e LDAP, qualquer aplicativo ativado pelo LDAP poderá armazenar informações uma vez, como informações de autenticação de usuário, e outros aplicativos utilizando o servidor LDAP as reconhecerão.
O LDAP reduz as necessidades de recursos de sistema pela inclusão de somente um subconjunto funcional do protocolo original de acesso a diretórios (DAP) do X.500.
IBM HTTP Server O suporte LDAP é extremamente escalável. Há uma ampla escolha de configurações LDAP incluindo:
Este manual assume que você possua um serviço de diretório X.500 existente disponível, por exemplo o diretório IBM SecureWay X.500.
X.500 é um serviço de diretórios com componentes que permitem uma recuperação mais eficiente. O LDAP usa dois destes componentes: o modelo de informações, que determina a forma e o caráter, e o espaço de nomes, que permite que as informações sejam indexadas e referenciadas.
A estrutura de diretórios X.500 difere de outras na forma em que as informações são armazenadas e recuperadas. As informações são associadas a atributos. Uma consulta baseada em atributos é gerada e enviada ao servidor LDAP, e o servidor retorna os valores respectivos. O LDAP usa uma abordagem simples baseada em cadeias para representar entradas de diretório.
Um diretório X.500 consiste de entradas, que possuem tipos que dependem do objeto ObjectClass. Cada entrada é composta de atributos. O atributo ObjectClass identifica o tipo de entrada (por exemplo, pessoa ou organização), determinando os atributos obrigatórios e os opcionais.
As entradas, que são arranjadas em uma estrutura em árvore, podem ser divididas entre servidores em uma distribuição geográfica e organizacional. São denominadas de acordo com sua posição dentro da hierarquia de distribuição por um nome distinto (DN).
O acesso a um diretório do X.500 exige um certo protocolo, por exemplo, o DAP (Directory Access Protocol). No entanto, o DAP requer grandes quantidades de recursos do sistema e mecanismos de suporte para manejar a complexidade do protocolo. O LDAP foi introduzido para permitir o acesso ao X.500 a partir de estações de trabalho de mesa.
O LDAP é baseado em cliente/servidor, e alguns dos recursos pesados requeridos pelos clientes LDAP são tratados pelo servidor LDAP. Um servidor LDAP pode apenas retornar resultados ou erros ao cliente, que requerem pouco do cliente. Se um servidor X.500 for incapaz de responder a uma solicitação do cliente, ele deve encadear a solicitação a outro servidor X.500. O servidor deve completar a solicitação ou retornar um erro ao servidor LDAP, o qual por sua vez passa a informação ao cliente. LDAP (Lightweight Directory Access Protocol) é um diretório de informações em que usuários e grupos podem ser definidos somente uma vez e compartilhados em várias máquinas e aplicativos. O plugin LDAP do IBM HTTP Server permite que a autenticação e a autorização (que é solicitada quando se acessa um recurso protegido) sejam executadas pelo diretório, reduzindo assim grande parte da sobrecarga administrativa da manutenção de informações sobre grupos e usuários para cada servidor Web.
O LDAP acessa o diretório X.500 através do uso de cadeias legíveis. Quando essas cadeias de consulta são passadas ao servidor LDAP, este retorna o nome distinto da entrada.
As entradas LDAP recebem tipos, ou são classificadas, por um atributo ObjectClass para simplificar as pesquisas. Po exemplo, você poderia pesquisar um diretório LDAP cuja objectclass=acl para localizar todas as entradas que são listas de controle de acesso.
Um filtro de pesquisa para uma entrada LDAP tem a seguinte estrutura:
Para maiores informações sobre filtros de pesquisa do LDAP, consulte o RFC 1960.
Joe Smith
Joe Schmoe Adam Fosset qualquer nome diferente de Jane Doe
Peter Johnson Davey Johnson
University of North Carolina Chapel Hill University of South Carolina
Nota: | O LDAP pode retornar mais de uma entrada. No entanto, o servidor Web não irá autenticar quando forem retornadas múltiplas entradas. Se University of North Carolina e University of South Carolina estiverem incluídas no diretório consultado por este exemplo, ambas serão retornadas, e a autenticação falhará. O filtro de pesquisa deve ser alterado. |
Digite o nome do domínio de autenticação do diretório no campo Nome do domínio de autenticação.
Para definir por grupo:
LDAPRequire group "nome_do_grupo"
Exemplo: LDAPRequire group "Usuários Administrativos"
Para definir por filtro:
LDAPRequire filter "filtro_de_pesquisa_ldap"
Exemplo: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
Nota: LDAPRequire só irá funcionar se ele for
inserido manualmente em httpd.conf.