IBM HTTP Server 支援使用輕裝備目錄存取協定 (LDAP),LDAP 是一種通信協定, 它可提供透過 TCP 或 SSL 連線來對 X.500 目錄的存取權。LDAP 可讓您將資訊儲存在目錄服務中,並可讓您以資料庫的形式來查詢。 當您使用 X.500 目錄及 LDAP 時,任何有啟用 LDAP 的應用程式都可以儲存一次資訊(例如: 使用者鑑別資訊),而使用 LDAP 伺服器的其它應用程式便可辨識該資訊。
LDAP 可以只併入一個原始 X.500 目錄存取通信協定 (DAP) 的功能子集, 以減少必要的系統資源。
IBM HTTP Server LDAP 支援的彈性非常大。您的 LDAP 配置選項包括:
本書將假設您已有現存的 X.500 目錄服務,例如,IBM SecureWay X.500 目錄。
X.500 是一種目錄服務,具有可提供更有效率之擷取功能的元件。 LDAP 使用下列這二種元件:資訊模型,可決定表格及字元;宣告名稱儲存區, 可允許資訊被索引及參考。
X.500 目錄結構與其它目錄結構的不同處,在於資訊儲存及擷取方式的不同。 資訊與屬性有所關聯。 它會根據屬性來產生查詢,並將查詢傳送到 LDAP 伺服器, 而伺服器會傳回個別的值。 LDAP 會使用簡單的、字串式的方法來表示目錄項目。
X.500 目錄是由項目 所組成,這些項目都是依據 ObjectClass 屬性來輸入 的。 每一個項目都是由屬性 所組成。 ObjectClass 屬性會識別項目的類型(例如,人員或組織), 可判定哪些屬性是必要的,而哪些屬性是選用的。
項目會以樹狀結構來排列,並且會依地理及組織分配來在伺服器之間分類。 其命名方式是依據它們在配置體系中的位置,以分辨名稱 (DN) 來命名。
存取 X.500 目錄需要某些通信協定,例如:「目錄存取通信協定 (DAP)」。但是,DAP 需要大量的系統資源及支援機制,才能處理通信協定的複雜性。 如果要讓桌面工作站存取 X.500,建議您使用 LDAP。
LDAP 是主從式的,而且 DAP 從屬站所需的某些大量資源都可以由 LDAP 伺服器來處理。LDAP 伺服器只可以傳回結果或錯誤給從屬站,而且只需要一點點的從屬站資源。 如果 X.500 伺服器無法回答從屬站要求,就必須將要求鏈接至另一個 X.500 伺服器。 伺服器必須完成要求或傳回錯誤給 LDAP 伺服器,然後再將資訊傳遞給從屬站。 LDAP (「輕裝備目錄存取通信協定」) 是一種資訊目錄,其中只需定義一次使用者和群組, 即可共用多台機器及多個應用程式。 IBM HTTP Server LDAP plugin 可允許由此目錄來執行鑑別及授權動作 (在存取受保護的資源時,必須使用), 因而,可大大地降低每部 Web 伺服器在本端維護使用者和群組所需的管理資源。
LDAP 會藉由使用人類可讀取的字串來存取 X.500 目錄。 當這些查詢字串傳遞到 LDAP 伺服器時,伺服器會傳回該項目的分辨名稱。
ObjectClass 屬性可將 LDAP 項目加以分類,以簡化搜尋程序。 例如,您可以搜尋 objectclass=acl 的 LDAP 目錄, 以找尋有存取控制清單的所有項目。
LDAP 項目的搜尋過濾具有下列結構:
LDAP 搜尋過濾的相關資訊,請參閱 RFC 1960。
Joe Smith
Joe Schmoe Adam Fosset 任何不是 Jane Doe 的名稱
Peter Johnson Davey Johnson
University of North Carolina Chapel Hill University of South Carolina
附註: | LDAP 可能會傳回一個以上的項目。 但是,若傳回多個項目,Web 伺服器將無法鑑別。 如果此範例所查詢的目錄中包含 University of North Carolina 及 University of South Carolina, 則二者都會被傳回,而鑑別就會失敗。 必須改變搜尋過濾。 |
在目錄的鑑別領域名稱欄位內輸入鑑別領域名稱。
依群組來定義:
LDAPRequire group "group_name"
範例:LDAPRequire group "Administrative Users"
由過濾器定義:
LDAPRequire filter "ldap_search_filter"
範例:LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
附註:必須將 LDAPRequire 插入 httpd.conf,LDAPRequire 才能作用。