IBM HTTP Server for WebSphere Application Server, V6.1
             操作系统: z/OS

             使目录和搜索结果个性化
本主题仅适用于 z/OS 操作系统。

在 IBM HTTP Server(z/OS 系统)上使用 LDAP 来认证

可以在 IBM HTTP Server for z/OS 上配置轻量级目录访问协议(LDAP)来认证和保护文件。

在您开始之前

缺省情况下,用于 LDAP 的 LoadModule 伪指令未装入到 IBM HTTP Server 中。如果没有 LoadModule 伪指令,就不能使用 LDAP 功能。

为了启用 LDAP 功能,请按如下方法将 LoadModule 伪指令添加到 IBM HTTP Server httpd.conf 文件中:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

关于本任务

LDAP 认证由 mod_ldap 和 mod_auth_ldap Apache 模块提供。两个模块是一起配置的。
  • mod_ldap 模块提供 LDAP 连接池和高速缓存。
  • mod_auth_ldap 使用 LDAP 连接池和高速缓存服务来提供 Web 客户端认证。
请参阅以下 Web 站点,以了解有关 LDAP(ldap_module 和 auth_ldap_module)伪指令的详细描述:

过程

  1. 编辑 httpd.conf IBM HTTP Server 配置文件。
  2. 确定要限制访问的资源。 例如:<Directory "/secure_info">
  3. 如果 IBM HTTP Server 与 LDAP 服务器的连接是 SSL 连接,那么将 LDAPTrustedCA 和 LDAPTrustedCAType 伪指令添加至 httpd.conf

    LDAPTrustedCA 伪指令指定当建立与 LDAP 服务器的 SSL 连接时 mod_ldap 应使用的可信认证中心(CA)的目录路径和文件名。

    证书可以存储在 .kdb 文件或 SAF 密钥环中。如果使用了 .kdb 文件,那么 .sth 文件必须与它位于同一目录中并具有同一文件名,但扩展名必须为 .sth,而非 .kdb

    LDAPTrustedCAType 伪指令必须是下列仅对 z/OS 定义的其中一个值类型:
    • KDB_FILE。如果由 LDAPTrustedCA 伪指令指示的证书存储在 .kdb 文件中,请使用此值。
    • SAF_KEYRING。如果由 LDAPTrustedCA 指示的证书存储在 SAF 密钥环中,那么请使用此值。
    当证书存储在 .kdb 文件中时的示例:
    LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
    LDAPTrustedCAType KDB_FILE
    
    当证书存储在 SAF 密钥环中时的示例。
    LDAPTrustedCA SAFKeyring
    LDAPTrustedCAType  SAF_KEYRING
    重要: 用来启动 IBM HTTP Server 的用户标识必须对此伪指令中指定的 SAF 密钥环具有访问权。如果该用户标识对 SAF 密钥环没有访问权,那么 SSL 初始化会失败。
    请参阅执行必需的 z/OS 系统配置 ,以获取有关访问在 RACF 中定义的 SAF 密钥环的信息。
  4. 添加 AuthLDAPUrl 伪指令,它指定要使用的 LDAP 搜索参数。
    URL 的语法如下:
    ldap://host:port/basedn?attribute?scope?filter
    
  5. httpd.conf 中的伪指令添加至要使用特定于环境的值进行保护的目录位置(容器),例如:
    • Order deny,allow
    • Allow from all
    • AuthLDAPEnabled on
    • AuthName “您保护的域的标题”
    • AuthType Basic
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    对于 LDAP 服务器、保护设置和保护伪指令的各种组合,请对“位置”容器进行编码,类似于下面的示例:
    <Location  /ldapdir>
      Order deny,allow
      Allow from all
      AuthLDAPEnabled on
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>



相关概念
轻量级目录访问协议
SSL 证书撤销列表
任务主题    

使用条款 | 反馈

最近更新日期: Mar 31, 2008 3:11:26 AM EDT
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfigz.html