IBM HTTP Server para WebSphere Application Server, Versión 6.1
             Sistemas operativos: z/OS

             Personalice la tabla de contenido y los resultados de la búsqueda
Este tema sólo es aplicable en el sistema operativo z/OS.

Autenticación con LDAP en IBM HTTP Server (sistemas z/OS)

Puede configurar LDAP (Lightweight Directory Access Protocol) para autenticar y proteger archivos en IBM HTTP Server para z/OS.

Antes de empezar

La directiva LoadModule para LDAP no se carga en IBM HTTP Server por omisión. Sin la directiva LoadModule, las funciones de LDAP no están disponibles para utilizarlas.

Para habilitar la función LDAP, añada una directiva LoadModule al archivo de IBM HTTP Server httpd.conf de la manera siguiente:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

Acerca de esta tarea

Los módulos Apache mod_ldap y mod_auth_ldap proporcionan la autenticación LDAP. Los dos módulos se configuran de forma conjunta.
  • El módulo mod_ldap proporciona la agrupación y colocación en memoria caché de conexiones LDAP.
  • mod_auth_ldap utiliza los servicios de agrupación y colocación en antememoria de conexiones LDAP para proporcionar autenticación de clientes Web.
Consulte los sitios Web siguientes para obtener descripciones detalladas de las directivas LDAP (ldap_module y auth_ldap_module):

Procedimiento

  1. Edite el archivo de configuración httpd.conf de IBM HTTP Server.
  2. Determine el recurso al que desea limitar el acceso. Por ejemplo: <Directory "/secure_info">
  3. Añada las directivas LDAPTrustedCA y LDAPTrustedCAType a httpd.conf si la conexión de IBM HTTP Server al servidor LDAP es una conexión SSL.

    La directiva LDAPTrustedCA especifica la vía de acceso del directorio y el nombre de archivo de la entidad emisora de certificados (CA) de confianza que mod_ldap debe utilizar al establecer una conexión SSL con un servidor LDAP.

    Los certificados pueden almacenarse en un archivo .kdb o un conjunto de claves SAF. Si se utiliza un archivo .kdb, debe haber un archivo .sth en la misma vía de acceso de directorio y tener el mismo nombre de archivo, pero la extensión debe ser .sth en lugar de .kdb.

    La directiva LDAPTrustedCAType debe ser uno de los siguientes tipos de valores definidos sólo para z/OS:
    • KDB_FILE. Utilice este valor si los certificados indicados por la directiva LDAPTrustedCA se almacenan en un archivo .kdb.
    • SAF_KEYRING. Utilice este valor si los certificados indicados por LDAPTrustedCA se almacenan en un conjunto de claves SAF.
    Ejemplo cuando se almacena el certificado en un archivo .kdb:
    LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
    LDAPTrustedCAType KDB_FILE
    
    Ejemplo cuando se almacena el certificado en un conjunto de claves SAF.
    LDAPTrustedCA SAFKeyring
    LDAPTrustedCAType  SAF_KEYRING
    Importante: El ID de usuario que se utiliza para iniciar IBM HTTP Server debe tener acceso al conjunto de claves SAF que se indica en esta directiva. Si el ID de usuario no tiene acceso al conjunto de claves SAF, falla la inicialización de SSL.
    Consulte Realización de las configuraciones del sistema z/OS necesarias para obtener información sobre cómo acceder a los conjuntos de claves SAF definidos en RACF.
  4. Añada la directiva AuthLDAPUrl, que especifica los parámetros de búsqueda de LDAP que se deben utilizar.
    La sintaxis del URL es:
    ldap://host:port/basedn?attribute?scope?filter
    
  5. Añada directivas en httpd.conf a la ubicación de directorio (contenedor) para que se proteja con valores específicos con el entorno como, por ejemplo:
    • Order deny,allow
    • Allow from all
    • AuthLDAPEnabled on
    • AuthName "Título del reino protegido"
    • AuthType Basic
    • AuthLDAPURL url_ldap_usuario
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword contraseña_aut
    Para cada combinación de servidor LDAP, configuración de protección y directiva de protección, codifique un contenedor de Ubicación similar al del ejemplo siguiente:
    <Location  /ldapdir>
      Order deny,allow
      Allow from all
      AuthLDAPEnabled on
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>



Conceptos relacionados
LDAP (Lightweight Directory Access Protocol)
Lista de revocación de certificados SSL
Tema de tarea    

Condiciones de uso | Comentarios

Última actualización: Feb 19, 2009 4:09:23 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfigz.html