IBM HTTP Server per WebSphere Application Server, Versione 6.1
             Sistemi operativi: z/OS

             Personalizzare la tabella dei contenuti e ricercare i risultati
Questo argomento si riferisce solo al sistema operativo z/OS.

Autenticazione con LDAP su IBM HTTP Server (sistemi z/OS)

È possibile configurare LDAP (Lightweight Directory Access Protocol) per autenticare e proteggere i file su IBM HTTP Server for z/OS.

Prima di iniziare

La direttiva LoadModule per LDAP non carica in IBM HTTP Server per impostazione predefinita. Senza la direttiva LoadModule, le funzioni LDAP non sono disponibili.

Per abilitarla, aggiungere una direttiva LoadModule al file di IBM HTTP Server httpd.conf nel modo seguente:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

Informazioni su questa attività

L'autenticazione LDAP viene fornita dai moduli di Apache mod_ldap e mod_auth_ldap. I due moduli vengono configurati insieme.
  • Il modulo mod_ldap fornisce il pooling e la memorizzazione nella cache della connessione LDAP.
  • mod_auth_ldap utilizza i servizi di pooling e di memorizzazione nella cache della connessione LDAP per fornire l'autenticazione del client Web.
Consultare i seguenti siti web per avere descrizioni dettagliate delle direttive LDAP (ldap_module e auth_ldap_module):

Procedura

  1. Modificare il file di configurazione httpd.conf di IBM HTTP Server.
  2. Determinare la risorsa a cui si intende limitare l'accesso. Ad esempio: <Directory "/secure_info">
  3. Aggiungere le direttive LDAPTrustedCA e LDAPTrustedCAType a httpd.conf se la connessione IBM HTTP Server al server LDAP è una connessione SSL.

    La direttiva LDAPTrustedCA specifica il percorso ed il nome file della directory del CA (certificate authority) sicuro che mod_ldap dovrebbe utilizzare quando si stabilisce una connessione SSL ad un server LDAP.

    I certificati possono essere memorizzati in un file .kdb o una key ring SAF. Se viene utilizzato un file .kdb, è necessario individuare un file .sth nello stesso percorso directory che abbia lo stesso nome file, ma l'estensione deve essere .sth invece di .kdb.

    La direttiva LDAPTrustedCAType deve essere una dei seguenti tipi di valore definiti solo per z/OS:
    • KDB_FILE. Utilizzare questo valore se i certificati indicati dalla direttiva LDAPTrustedCA sono memorizzati in un file .kdb.
    • SAF_KEYRING. Utilizzare questo valore se i certificati indicati da LDAPTrustedCA sono memorizzati in un key ring SAF.
    Esempio di un certificato memorizzato in un file .kdb:
    LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
    LDAPTrustedCAType KDB_FILE
    
    Esempio di un certificato memorizzato in un key ring SAF.
    LDAPTrustedCA SAFKeyring
    LDAPTrustedCAType  SAF_KEYRING
    Importante: L'ID utente utilizzato per avviare IBM HTTP Server deve avere accesso al key ring SAF nominato in questa direttiva. Se l'ID utente non ha accesso al key ring SAF, l'inizializzazione SSL ha esito negativo.
    Consultare Esecuzione delle configurazioni di sistema di z/OS richieste per informazioni sull'accesso dei key ring SAF definiti in RACF.
  4. Aggiungere la direttiva AuthLDAPUrl che specifica i parametri di ricerca LDAP da utilizzare.
    La sintassi dell'URL è:
    ldap://host:port/basedn?attribute?scope?filter
    
  5. Aggiungere le direttive in httpd.conf alla posizione di directory (contenitore) da proteggere con i valori specifici dell'ambiente, come:
    • Order deny,allow
    • Allow from all
    • AuthLDAPEnabled on
    • AuthName "Titolo del dominio protetto"
    • AuthType Basic
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    Per ogni combinazione di server LDAP, setup di protezione e direttiva di protezione, codificare un contenitore di posizione simile al seguente esempio:
    <Location  /ldapdir>
      Order deny,allow
      Allow from all
      AuthLDAPEnabled on
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>



Concetti correlati
LDAP (Lightweight Directory Access Protocol)
CRL (Certificate Revocation List) SSL
Argomento attività    

Termini di utilizzo | Commenti

Ultimo aggiornamento: Feb 22, 2009 8:43:20 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfigz.html