IBM HTTP Server for WebSphere Application Server, Version 6.1
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

LDAP を使用した IBM HTTP Server 上での認証 (z/OS システム)

Lightweight Directory Access Protocol (LDAP) を構成して、IBM HTTP Server for z/OS 上のファイルを認証および保護することができます。

始める前に

LDAP の LoadModule ディレクティブは、デフォルトでは IBM HTTP Server にロードされません。 LoadModule ディレクティブがないと、LDAP フィーチャーは使用できません。

LDAP 機能を使用可能にするには、以下のようにして、 IBM HTTP Server の httpd.conf ファイルに LoadModule ディレクティブを追加してください。
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

このタスクについて

LDAP 認証は、mod_ldap および mod_auth_ldap Apache モジュールによって提供されます。2 つのモジュールは、関連して構成されます。
  • mod_ldap モジュールは、LDAP 接続のプールおよびキャッシングを提供します。
  • mod_auth_ldap は、LDAP 接続プールおよびキャッシング・サービスを利用して Web クライアント認証を提供します。
LDAP (ldap_module および auth_ldap_module) ディレクティブの詳細説明を取得するには、 以下の Web サイトを参照してください。

プロシージャー

  1. httpd.conf IBM HTTP Server 構成ファイルを編集します。
  2. アクセスを制限するリソースを決定します。 例えば、<Directory "/secure_info"> とします。
  3. SSL 接続で IBM HTTP Server を LDAP サーバーに接続する場合は、LDAPTrustedCA および LDAPTrustedCAType ディレクティブを httpd.conf に追加します。

    LDAPTrustedCA ディレクティブは、LDAP サーバーに対して SSL 接続を確立する際に mod_ldap が使用するトラステッド認証局 (CA) のディレクトリー・パスおよびファイル名を指定します。

    証明書は、.kdb ファイルまたは SAF 鍵リングに格納することができます。 .kdb ファイルを使用している場合、.sth ファイルを同じディレクトリー・パスに配置し、ファイル名も同じにする必要があります。ただし、拡張子は .kdb ではなく .sth にしてください。

    LDAPTrustedCAType ディレクティブは、z/OS のみに定義された以下の値のタイプのいずれか 1 つでなければなりません。
    • KDB_FILE. LDAPTrustedCA ディレクティブで示された証明書が .kdb ファイルに格納される場合は、この値を使用します。
    • SAF_KEYRING. LDAPTrustedCA ディレクティブで示された証明書が SAF 鍵リングに格納される場合は、この値を使用します。
    証明書を .kdb ファイルに格納する場合の例。
    LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
    LDAPTrustedCAType KDB_FILE
    
    証明書を SAF 鍵リングに格納する場合の例。
    LDAPTrustedCA SAFKeyring
    LDAPTrustedCAType  SAF_KEYRING
    重要: IBM HTTP Server を始動するために使用するユーザー ID には、このディレクティブで指定された SAF 鍵リングへのアクセス権がなければなりません。ユーザー ID に SAF 鍵リングへのアクセス権がない場合、SSL 初期化は失敗します。
    RACF で定義された SAF 鍵リングへアクセスする際の詳細情報については、必要な z/OS システム構成の実行を参照してください。
  4. AuthLDAPUrl ディレクティブを追加して、使用する LDAP 検索パラメーターを指定します。
    URL の構文は、次のとおりです。
    ldap://host:port/basedn?attribute?scope?filter
    
  5. 以下のように、httpd.conf 内のディレクティブをディレクトリー・ロケーション (コンテナー) に追加し、ご使用の環境に固有の値で保護します。
    • Order deny,allow
    • Allow from all
    • AuthLDAPEnabled on
    • AuthName "保護レルムのタイトル"
    • AuthType Basic
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    以下の例のように、LDAP サーバー、保護セットアップ、および保護ディレクティブの組み合わせごとに、Location コンテナーをコード化します。
    <Location  /ldapdir>
      Order deny,allow
      Allow from all
      AuthLDAPEnabled on
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>



関連概念
Lightweight Directory Access Protocol
SSL 証明書取り消しリスト
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Feb 19, 2009 11:52:36 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfigz.html