IBM HTTP Server 提供了在 LDAP 模块(在 Web 服务器中运行)和 LDAP 目录服务器之间使用安全连接的能力。如果启用了此功能,那么加密在 Web 服务器和目录服务器之间进行的任何通信。
要启用此功能,编辑 ldap.prop LDAP 配置文件,并将 ldap.transport 的值更改为 SSL。创建或获取证书数据库文件(X.kdb)和密码隐藏文件(Y.sth)。您可以使用 IKEYMAN 以获取密钥数据库文件。您必须使用 ldapstash 程序以创建隐藏文件。您还将会需要更改 ldap.URL 和 ldap.group.URL 的值,以使用端口 636 而不是端口 389。
密钥数据库文件包含了确定标识的证书。LDAP 服务器可以在允许查询之前要求 Web 服务器提供证书。当使用具有 LDAP 模块和 LDAP 服务器之间的 SSL 连接的证书时,配置 IBM HTTP Server 使用的用户标识必须具有对包含此证书的密钥数据库文件的写许可权。
证书确定了标识,以防止其他用户窃取或覆盖您的证书(因此也包含您的标识)。如果有人具有对密钥数据库文件的读许可权,那么他们可以获取用户的证书并冒充该用户。仅将读或写许可权授予密钥数据库文件的所有者。