IBM HTTP Server for WebSphere Application Server, Version 6.1
             Betriebssysteme: z/OS

             Inhaltsverzeichnis und Suchergebnisse anpassen
Dieser Artikel gilt nur für das Betriebssystem z/OS.

Authentifizierung mit LDAP in IBM HTTP Server (z/OS-Systeme)

Sie können LDAP (Lightweight Directory Access Protocol) für die Authentifizierung und zum Schutz von Dateien für IBM HTTP Server für z/OS konfigurieren.

Vorbereitungen

Die Anweisung LoadModule für LDAP wird standardmäßig nicht in IBM HTTP Server geladen. Ohne die Anweisung LoadModule können die LDAP-Features nicht verwendet werden.

Wenn Sie die LDAP-Funktion aktivieren möchten, fügen Sie der Datei httpd.conf von IBM HTTP Server wie folgt eine Anweisung LoadModule hinzu:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

Informationen zu dieser Task

LDAP-Authentifizierung wird über die Apache-Module mod_ldap und mod_auth_ldap bereitgestellt. Diese beiden Module werden zusammen konfiguriert.
  • Das Modul mod_ldap stellt LDAP-Verbindungs-Pooling und -Caching bereit.
  • Das Modul mod_auth_ldap verwendet die LDAP-Verbindungs-Pooling- und LDAP-Caching-Services für die Bereitstellung von Webclientauthentifizierung.
Ausführliche Beschreibungen zu den LDAP-Anweisungen (ldap_module und auth_ldap_module) finden Sie auf den folgenden Websites:

Prozedur

  1. Editieren Sie die Konfigurationsdatei httpd.conf von IBM HTTP Server.
  2. Geben Sie die Ressource an, für die der Zugriff eingeschränkt werden soll. Beispiel: <Verzeichnis "/secure_info">
  3. Fügen Sie die Anweisungen LDAPTrustedCA und LDAPTrustedCAType der Datei httpd.conf hinzu, wenn es sich bei der Verbindung von IBM HTTP Server zum LDAP-Server um eine SSL-Verbindung handelt.

    Die Anweisung LDAPTrustedCA gibt den Verzeichnispfad und den Dateinamen der anerkannten Zertifizierungsstelle (CA) an, den mod_ldap verwenden soll, wenn eine SSL-Verbindung zu einem LDAP-Server hergestellt wird.

    Zertifikate können in einer Datei mit der Erweiterung .kdb oder in einem SAF-Schlüsselring gespeichert werden. Wenn die Datei mit der Erweiterung .kdb verwendet wird, muss sich in demselben Verzeichnispfad eine Datei mit demselben Namen, jedoch mit der Erweiterung .sth statt .kdb befinden.

    Für die Anweisung LDAPTrustedCAType muss einer der folgenden nur für z/OS definierten Wertetypen angegeben werden:
    • KDB_FILE. Verwenden Sie diesen Wert, wenn die mit der Anweisung LDAPTrustedCA angegebene Zertifikate in einer Datei mit der Erweiterung .kdb gespeichert sind.
    • SAF_KEYRING. Verwenden Sie diesen Wert, wenn die mit der Anweisung LDAPTrustedCA angegebene Zertifikate in einem SAF-Schlüsselring gespeichert sind.
    Beispiel mit einem in einer Datei .kdb gespeicherten Zertifikat:
    LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
    LDAPTrustedCAType KDB_FILE
    
    Beispiel mit einem in einem SAF-Schlüsselring gespeicherten Zertifikat:
    LDAPTrustedCA SAFKeyring
    LDAPTrustedCAType  SAF_KEYRING
    Wichtig: Die Benutzer-ID, die zum Starten von IBM HTTP Server verwendet wird, muss auf den in dieser Anweisung genannten SAF-Schlüsselring zugreifen können. Kann die Benutzer-ID ncht auf den SAF-Schlüsselring zugreifen, schlägt die SSL-Initialisierung fehl.
    Informationen zum Zugreifen auf SAF-Schlüsselringe, die in RACF definiert sind, finden Sie im Artikel Erforderliche z/OS-Systemkonfigurationen durchführen.
  4. Fügen Sie die Anweisung AuthLDAPUrl hinzu, die die zu verwendenden LDAP-Suchparameter angibt.
    Syntax des URL lautet:
    ldap://host:port/basedn?attribute?scope?filter
    
  5. Fügen Sie der Datei httpd.conf Anweisungen für die zu schützende Verzeichnisposition (Container) hinzu, und geben Sie die für Ihre Umgebung zutreffenden Werte an. Beispiel:
    • Order deny,allow
    • Allow from all
    • AuthLDAPEnabled on
    • AuthName "Name des geschützten Realm"
    • AuthType Basic
    • AuthLDAPURL Ihr_LDAP_URL
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword Kennwort_für_Authentifizierung
    Codieren Sie für jede Kombination von LDAP-Servern, Zugriffsschutzkonfiguration und Schutzanweisung einen Positionscontainer ähnlich dem folgenden Beispiel:
    <Location  /ldapdir>
      Order deny,allow
      Allow from all
      AuthLDAPEnabled on
      AuthName "beliebiges_LDAP"
      AuthType Basic
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>



Zugehörige Konzepte
Lightweight Directory Access Protocol
SSL-Zertifikatwiderruflisten
Task-Artikel    

Nutzungsbedingungen | Feedback

Letzte Aktualisierung: Feb 20, 2009 1:36:28 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfigz.html