IBM HTTP Server 說明:LDAP 入門

LDAP 入門 - 不適用於 HP 或 Linux

使用 LDAP 伺服器上的使用者或群組資訊來保護檔案或目錄

依據使用者來定義:

啟動 IBM Administration Server。進入「存取許可權」 > 「一般存取」然後插入 LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop) 在 LDAP:配置檔欄位。此為必要檔案。

在目錄的鑑別領域名稱欄位內輸入鑑別領域名稱。

依群組來定義:

LDAPRequire group "group_name"
範例:LDAPRequire group "Administrative Users"

由過濾器定義:

LDAPRequire filter "ldap_search_filter"
範例:LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

附註:必須將 LDAPRequire 插入 httpd.conf,LDAPRequire 才能作用。

使用金鑰環檔案

在配置 LDAP 以使用 SSL 來與 LDAP 伺服器進行通信時, 如果要使用 mod_ibm_sslmod_ibm_ldap, 則 mod_ibm_sslmod_ibm_ldap必須使用相同的金鑰環檔案。如果您允許以 SSL 來與 Web 伺服器連線, 並且使用 SSL 來作為 Web 伺服器及 LDAP 伺服器之間的傳輸方式, 則金鑰環檔案 (用於這二個模組) 可合併為一個金鑰環檔案。 各個模組的配置都可以指定不同的預設憑證。

SSL 及 LDAP 模組

在 LDAP 模組及 LDAP Directory Server 之間使用 SSL 時, 金鑰資料庫檔案必須要有寫入許可權。金鑰資料庫檔案包含用來建立區別名稱的憑證, 而且在安全的環境中,LDAP 伺服器可能會需要 Web 伺服器來提供憑證, 以向 LDAP 伺服器查詢鑑別資訊。 金鑰資料庫檔案必須可以讓 Web 伺服器用來執行的任何 Unix 使用者 ID 寫入。 例如,若 Web 伺服器以 Unix ID "使用者 ID" 來執行, 則金鑰資料庫檔案應為使用者 "使用者 ID" 所擁有,而且必須要有寫入許可權。

憑證可建立區別名稱;因此,一個人的憑證絕不能被別人的憑證所盜取或覆寫。 如果某人具有金鑰資料庫檔案的讀取許可權,它就可以擷取該使用者的憑證,並假冒該使用者。 因此,除了金鑰資料庫檔案的擁有者之外,不應有其它人具有該檔案的讀取或寫入許可權。

即使有隱藏檔案存在,LDAP 模組都需要有該使用者的金鑰資料庫的密碼。 使用者必須使用 ldapstash 指令來建立含有金鑰資料庫檔之密碼的 LDAP 隱藏檔。

建立 LDAP 連線

欲建立 LDAP 連線,您必須提供所使用之 LDAP 伺服器的相關資訊。 編輯您的內容檔案 (您可在 HTTP Server conf 目錄中找到 ldap.prop 範例檔), 並插入適用的指引。

IBM HTTP Server 上支援的 LDAP 伺服器

相關資訊

LDAP
LDAP 指引