IBM HTTP Server pour WebSphere Application Server, Version 6.1
             Systèmes d'exploitation : z/OS

             Personnalisation de la table des matières et des résultats de la recherche
Cette rubrique concerne uniquement le système d'exploitation z/OS

Authentification avec LDAP sur IBM HTTP Server (systèmes z/OS)

Vous pouvez configurer le protocole LDAP (Lightweight Directory Access Protocol) pour authentifier et protéger les fichiers sur IBM HTTP Server for z/OS.

Avant de commencer

Par défaut, la directive LoadModule pour LDAP ne se charge pas dans IBM HTTP Server. Sans la directive LoadModule, les fonctions LDAP ne sont pas disponibles.

Pour activer la fonction LDAP, ajoutez une directive LoadModule dans le fichier httpd.conf d'IBM HTTP Server en procédant comme suit :
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

A propos de cette tâche

L'authentification LDAP est fournie par les modules Apache mod_ldap et mod_auth_ldap. Les deux modules sont configurés conjointement.
  • Le module mod_ldap fournit le regroupement et la mise en cache des connexions LDAP.
  • Le module mod_auth_ldap utilise les services de regroupement et de mise en cache des connexions LDAP pour permettre l'authentification au client Web.
Consultez les sites Web suivants pour obtenir des descriptions détaillées des directives LDAP (ldap_module et auth_ldap_module) :

Procédure

  1. Editez le fichier de configuration d'IBM HTTP Server, httpd.conf.
  2. Déterminez la ressource dont vous souhaitez limiter l'accès. Par exemple : <Répertoire "/secure_info">
  3. Ajoutez les directives LDAPTrustedCA et LDAPTrustedCAType au fichier httpd.conf si la connexion d'IBM HTTP Server au serveur LDAP est une connexion SSL.

    La directive LDAPTrustedCA indique le chemin d'accès du répertoire et le nom du fichier de l'autorité de certification sécurisée (CA) que le module mod_ldap doit utiliser à l'établissement d'une connexion SSL avec un serveur LDAP.

    Des certificats peuvent être stockés dans un fichier .kdb ou dans un fichier de clés SAF. Si vous utilisez un fichier .kdb, un fichier .sth doit se trouver dans le même répertoire et avoir le même nom ; seule l'extension change (.sth au lieu de .kdb).

    La directive LDAPTrustedCAType doit prendre l'une des valeurs suivantes définies pour z/OS seulement :
    • KDB_FILE. Utilisez cette valeur si les certificats indiqués par la directive LDAPTrustedCA sont stockés dans un fichier .kdb.
    • SAF_KEYRING. Utilisez cette valeur si les certificats indiqués par la directive LDAPTrustedCA sont stockés dans un fichier de clés SAF.
    Exemple lorsque le certificat est stocké dans un fichier .kdb :
    LDAPTrustedCA "/usr/lpp/internet/server4.kdb"
    LDAPTrustedCAType KDB_FILE
    
    Exemple lorsque le certificat est stocké dans un fichier de clés SAF :
    LDAPTrustedCA SAFKeyring
    LDAPTrustedCAType  SAF_KEYRING
    Important : L'ID utilisateur que vous utilisez pour démarrer IBM HTTP Server doit bénéficier d'un accès au fichier de clés SAF nommé dans cette directive. Si l'ID utilisateur ne bénéficie pas d'un accès au fichier de clés SAF, l'initialisation SSL échoue.
    Voir Paramétrage des configurations système z/OS requises pour plus d'informations sur l'accès aux fichiers de clés SAF définis dans RACF.
  4. Ajoutez la directive AuthLDAPUrl, qui spécifie les paramètres de recherche LDAP à utiliser.
    La syntaxe de l'URL est la suivante :
    ldap://host:port/basedn?attribute?scope?filter
    
  5. Ajoutez des directives dans httpd.conf à l'emplacement du répertoire (conteneur) pour qu'il soit protégé avec des valeurs spécifiques à votre environnement, par exemple :
    • Order deny,allow
    • Allow from all
    • AuthLDAPEnabled on
    • AuthName "Nom de votre domaine sécurisé"
    • AuthType Basic
    • AuthLDAPURL url_ldap
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword mot_de_passe
    Pour chaque combinaison de serveur LDAP, de configuration de protection et de directive de protection, codez un conteneur Emplacement comme dans l'exemple suivant :
    <Emplacement  /ldapdir>
      Order deny,allow
      Allow from all
      AuthLDAPEnabled on
      AuthName "LDAP_quelconque"
      AuthType Basic
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>



Concepts associés
Protocole LDAP (Lightweight Directory Access Protocol)
Liste de retrait de certificats SSL
Rubrique Tâche    

Conditions d'utilisation | Commentaires

Dernière mise à jour : Feb 22, 2009 5:16:05 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfigz.html