IBM HTTP Server 帮助:LDAP 入门

LDAP 入门 - 在 HP 或 Linux 上无效

使用 LDAP 服务器上的用户或组信息保护文件或目录

要通过用户来定义:

启动 "IBM Administration Server"。转至“访问许可 > 一般访问”,并在“LDAP:配置文件”字段中插入 LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop)。这是一个必要的文件。

在“认证领域名”字段中输入目录的认证领域名。

要通过组来定义:

LDAPRequire group "group_name"
示例:LDAPRequire group "Administrative Users"

要通过过滤器来定义:

LDAPRequire filter "ldap_search_filter"
示例:LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

注:仅可使用手工插入到 httpd.conf 中的 LDAPRequire。

使用密钥环文件

当配置 LADP 以使用 SSL 和 LDAP 服务器通信时,为了要使用 mod_ibm_sslmod_ibm_ldapmod_ibm_sslmod_ibm_ldap 必须使用相同的密钥环文件。 如果您允许使用 Web 服务器与 SSL 连接,并在 Web 服务器和 LDAP 服务器之间传送时使用 SSL,则这些密钥环文件(用于这两个模块)可以合并为一个密钥环文件。每个模块的配置都可以指定一个不同的缺省证书。

SSL 和 LDAP 模块

当在 LDAP 模块和 LDAP 目录服务器之间使用 SSL 时,密钥数据库文件必须有写许可权。 密钥数据库文件包含构建某个人身份的证书,并且在安全的环境下,LDAP 服务器可能还需要 Web 服务器提供证 书,以查询 LDAP 服务器获得有关认证信息。无论以哪个 Unix 用户标识运行,都必须可以对该密钥数据库文件进行写操作。 例如:如果 Web 服务器以 Unix 标识“用户标识”运行,则该密钥数据库文件由用户“用户标识”所有并且必须有写许可权。

证书构建某个用户的身份;因此,防止某个用户的证书被盗或被其他人的证书覆盖是很重要的。 如果某个人对密钥数据库拥有读许可权,则他就可以检索该用户的证书并冒充该用户。 因此,除了密钥数据库的所有者,其他人不能拥有对密钥数据库的读或写许可权。

LDAP 模块需要用户的密钥数据库的口令(即使存在存储文件)。用户必须使用 ldapstash 命令 创建包含密钥数据库口令的 LDAP 存储文件。

创建 LDAP 连接

要创建 LDAP 连接,您必须提供关于正在使用的 LDAP 服务器信息。 编辑 ldap 特性文件(HTTP Server conf 目录中的 ldap.prop 样本)并插入可应用的伪指令。

IBM HTTP Server 上支持的 LDAP 服务器

相关信息

LDAP
LDAP 伪指令