Dateien und Verzeichnisse mit Hilfe von Benutzer- und Gruppeninformationen auf einem
LDAP-Server schützen
Gehen Sie zur Definition mit Hilfe von Benutzerinformationen wie folgt vor:
Starten Sie den IBM Verwaltungs-Server. Rufen Sie das Formular "Zugriffsberechtigungen > Allgemeiner Zugriff"
auf und fügen Sie im Feld "LDAP: Konfigurationsdatei" die LDAP-Konfigurationsdatei "C:/Programme/IBM HTTP Server/conf/ldap.prop" ein.
Diese Datei muss angegeben werden.
Geben Sie im Feld "Name des Authentifizierungsbereichs" den Namen für Namen des Authentifizierungsbereichs
für das Verzeichnis ein.
Gehen Sie zur Definition mit Hilfe von Gruppeninformationen wie folgt vor:
LDAPRequire group "Gruppenname"
Beispiel: LDAPRequire group "Benutzer mit Verwaltungsaufgaben"
Gehen Sie zur Definition mit Hilfe von Filtern wie folgt vor:
Anmerkung: LDAPRequire funktioniert nur, wenn diese
Anweisung in die Datei "httpd.conf" eingefügt wird.
Schlüsseldateien verwenden
Wenn Sie mod_ibm_ssl und mod_ibm_ldap bei der Konfiguration von LDAP verwenden möchten, um
SSL für die Kommunikation mit dem LDAP-Server einzusetzen, MÜSSENmod_ibm_ssl und mod_ibm_ldap dieselbe Schlüsseldatei benutzen. Sollten Sie SSL-Verbindungen zum Web-Server zulassen und außerdem SSL als Transportprotokoll
zwischen dem Web-Server und dem LDAP-Server einsetzen, können die für die beiden Module verwendeten
Schlüsseldateien zu einer Schlüsseldatei zusammengefasst werden.
In der Konfiguration der Module können unterschiedliche Standardzertifikate angegeben sein.
SSL und das LDAP-Modul
Falls SSL für die Kommunikation zwischen dem LDAP-Modul und dem LDAP-Verzeichnis-Server verwendet wird,
muss der Schreibzugriff auf die Schlüsseldatenbankdatei möglich sein. Die Schlüsseldatenbankdatei
enthält die Zertifikate, die die Identität der Benutzer belegen. In einer geschützten Umgebung benötigt
der LDAP-Server möglicherweise einen Web-Server für
die Bereitstellung eines Zertifikats, um die Authentifizierungsdaten vom LDAP-Server abzurufen.
Der UNIX-Benutzer, unter dessen ID der Web-Server ausgeführt wird, muss in die Schlüsseldatenbankdatei
schreiben können.
Beispiel: Wenn der Web-Server unter der UNIX-ID "Benutzer-ID" ausgeführt wird, muss
"Benutzer-ID" Eigner der Datei sein und über Schreibberechtigung verfügen.
Zertifikate belegen die Identität von Benutzern. Deshalb muss unbedingt verhindert werden, dass die
Zertifikate gestohlen oder durch die Zertifikate anderer Benutzer überschrieben werden.
Wenn ein Benutzer Lesezugriff auf die Schlüsseldatenbankdatei hat, kann dieser die Zertifikate eines
anderen Benutzers abrufen und sich damit als der andere Benutzer ausgeben. Aus diesem Grund
sollte nur der Eigner der Schlüsseldatenbank Lese- und Schreibzugriff auf diese Datei haben.
Das LDAP-Modul benötigt das Kennwort für die Schlüsseldatenbank des Benutzers auch dann, wenn eine versteckt
gespeicherte Datei vorhanden ist. Der Benutzer muss mit dem Befehl "ldapstash" eine
versteckt gespeicherte LDAP-Datei mit dem Kennwort für die Schlüsseldatenbankdatei erstellen.
LDAP-Verbindung herstellen
Sie müssen zum Erstellen einer LDAP-Verbindung Informationen über
den verwendeten LDAP-Server angeben.
Rufen Sie die LDAP-Eigenschaftsdatei (eine Beispieldatei "ldap.prop" befindet sich im Konfigurationsverzeichnis
"conf" des IBM HTTP Server) in einem Editor auf und fügen Sie die entsprechenden Anweisungen ein.
Geben Sie die Informationen zur Web-Server-Verbindung ein.
Geben Sie die Informationen zur Client-Verbindung ein.