Guida di IBM HTTP Server: Introduzione a LDAP

Introduzione di LDAP - Non valido su HP o Linux

Protezione file o directory che utilizzano informazioni su utenti o gruppi su un server LDAP

Per definire in base all'utente:

Avviare IBM Administration Server. Da Autorizzazioni di accesso > Accesso generale, inserire il file LdapConfigFile (C:/Programmi/IBM HTTP Server/conf/ldap.prop) nel campo LDAP: file di configurazione. Questo file è necessario per l'elaborazione.

Immettere il nome dell'area di autenticazione relativo alla directory nel campo Nome dell'area di autenticazione.

Per definire in base al gruppo:

LDAPRequire group "group_name"
Esempio: LDAPRequire group "Administrative Users"

Per definire in base al filtro:

LDAPRequire filter "ldap_search_filter"
Esempio: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

Nota: LDAPRequire funzionerà solo se viene inserito manualmente nel file httpd.conf.

Utilizzo di file di chiavi

Per poter utilizzare mod_ibm_ssl e mod_ibm_ldap quando si configura LDAP per utilizzare SSL per comunicare con il server LDAP, sia mod_ibm_ssl che mod_ibm_ldap DEVONO utilizzare lo stesso file di chiavi. Se si autorizzano le connessioni SSL al server Web e si utilizza l'SSL come mezzo di comunicazione tra il server Web e il server LDAP, i file di chiavi (utilizzati in entrambi i moduli) possono essere uniti in un unico file di chiavi. La configurazione di ciascun modulo potrà specificare un diverso certificato predefinito.

Modulo SSL e LDAP

Quando si utilizza SSL tra il modulo LDAP e LDAP Directory Server, il file di database di chiavi deve disporre dei permessi di scrittura. Tale file contiene i certificati che stabiliscono l'identità di un utente e, in ambienti sicuri, il server LDAP può richiedere al server Web di fornire un certificato per richiedere al server LDAP informazioni di autenticazione. E' necessario che sia possibile scrivere nel file del database di chiavi, a prescindere dall'ID utente Unix in esecuzione sul Web. Ad esempio, se il server Web è in esecuzione come ID Unix "user ID", il file del database di chiavi dovrà essere in possesso dell'utente "user ID" e dovrà disporre dell'accesso in scrittura.

I certificati sono in grado di stabilire l'identità di un utente; è molto importante, quindi, che non vengano ricoperti da altri certificati. Se un utente dispone dell'accesso in lettura al file del database di chiavi di un altro utente, potrà richiamare i certificati e agire per quell'utente. Quindi, nessuno eccetto il proprietario del file del database di chiavi, dovrebbe avere accesso in scrittura o in lettura a quel file.

Il modulo LDAP richiede la password per il database di chiavi dell'utente anche nel caso in cui venga rilevato un file stash. E' necessario che l'utente utilizzi il comando ldapstash per creare un file di stash LDAP che contenga la password per il file del database di chiavi.

Creazione di una connessione LDAP

Per creare una connessione LDAP, è necessario fornire alcune informazioni sul server LDAP utilizzato. Modificare il proprio file delle proprietà ldap (file di esempio ldap.prop presente nella directory di configurazione HTTP Server) e inserire le istruzioni applicabili.

Server LDAP supportati su IBM HTTP Server

Informazioni correlate

LDAP
Istruzioni LDAP