IBM HTTP Server for WebSphere Application Server, 버전 6.1
             운영 체제: AIX, HP-UX, Linux, Solaris, Windows

             목차 및 검색 결과 개인화

IBM HTTP Server에서 LDAP을 사용하여 인증(분산 시스템)

이 절에서는 IBM HTTP Server에서 파일을 보호하기 위해 LDAP를 구성하는 방법에 대해 설명합니다.

시작하기 전에

LDAP의 LoadModule 지시문은 기본적으로 IBM HTTP Server에 로드되지 않습니다. LoadModule 지시문이 없는 경우, LDAP 기능을 사용할 수 없습니다. LDAP 기능을 사용하려면, 다음과 같이 LoadModule 지정문을 IBM HTTP Server httpd.conf 파일에 추가하십시오.

컴퓨터에 LDAP 클라이언트를 설치한 경우 ldapsearch를 도구로 사용하여 다양한 설정에 사용하려는 값을 테스트할 수 있습니다.

이 타스크 정보

LDAP(mod_ibm_ldap) 지시문에 대한 자세한 설명은 LDAP 지시문의 내용을 참조하십시오.

프로시저

  1. httpd.conf IBM HTTP Server 구성 파일을 편집하십시오.
  2. 액세스를 제한하려는 자원을 결정하십시오. 예: <Directory "/secure_info">.
  3. 사용자의 환경에 고유하게 사용되는 값으로 보호되는 디렉토리 위치(컨테이너)로 httpd.conf에 지시문을 추가하십시오. 예제:
    • LdapConfigFile path_to_ldap.prop
    • AuthType Basic
    • AuthName "보호 설정된 범주의 제목"
    • Require valid-user
  4. 기존 LDAP 설치를 인증하는 데 IBM HTTP Server를 사용하는 방법에는 세 가지 옵션이 있습니다.
    • LDAP 그룹 멤버쉽을 기반으로 하는 권한.
      LDAP을 사용하여 사용자 암호를 확인하고 사용자가 LDAP에 정의된 그룹에 있는지 확인합니다.
      주: 사용자가 자원에 액세스할 수 있는지 식별하는 멤버쉽은 사용자 자체 LDAP 입력 파트가 아니라 그룹의 파트입니다.

      예를 들어, 액세스를 그룹으로 제한하려면 다음 지시문을 추가하십시오.

      LDAPRequire group grp1

      이 양식의 LDAPRequire에 대해 그룹을 다음 규칙을 준수하는 LDAP 저장소에 구성해야 합니다(예제의 그룹 이름 grp1 사용).

      • 항목이 다음 검색 필터에 일치하는 LDAP 저장소에 있습니다. (여기서 groupofnamesgroupofuniquenames 값은 ldap.group.dnattributes에 지정된 예제 값입니다.)
        주: ldap.group.dnattributes의 적절한 값은 LDAP 스키마를 나타내는 objectclasses의 목록입니다.
        ldapsearch ... "(&(cn=grp1)(|(objectclass=groupofnames)
        (objectclass=groupofuniquenames)))"
      • "grp1"의 LDAP 입력 파트로 다음에 일치하는 일련의 속성이 있습니다. (여기서 memberuniquemember는 ldap.group.memberAttributes의 예제 값입니다.)
        주: ldap.group.memberAttributes의 적절한 값은 그룹의 멤버쉽을 나타내는 objectclasses의 목록입니다. 이 항목의 값은 사용자의 식별 이름(DN)입니다.
        ldapsearch ... "(&(cn=grp1)(|(objectclass=groupofnames)
        (objectclass=groupofuniquenames)))" member uniquemember 

        예:

        ldapsearch -x -h myldapserver -D cn=root -w rootpw
        "(&(cn=grp1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))" 
        member uniquemember
        dn: cn=group1,ou=myunit,o=myorg,c=US 
        member: cn=user1, ou=otherunit, o=myorg, c=US
        member: cn=user12, ou=otherunit, o=myorg, c=US 

        ldap.group.dnattributes에 나열된 오브젝트 유형이 검색 중인 그룹의 구성원인 경우 ldap.group.search.depth에 지정된 깊이 만큼 동일한 유형으로 반복적으로 검색됩니다.

      • 우선, IBM HTTP Server에서 ldap.group.name.filter 및 ldap.user.cert.filter를 사용하여 사용자 및 그룹에 제공된 CN을 식별 이름(DN)으로 변환합니다. 그런 다음 IBM HTTP Server는 그룹 DB을 값이 사용자 DN인 항목의 기본으로 사용하여 검색합니다.

        예:

        ldapsearch ... -b "cn=grp1,ou=myunit,o=myorg,c=US" 
        "|((member=cn=user1,ou=otherunit,o=myorg,c=US) 
        (uniquemember=cn=user1,ou=otherunit,o=myorg,c=US))"
    • 사용자의 LDAP 속성을 기반으로 하는 권한. LDAP을 사용하여 사용자 암호를 확인하고 사용자가 속성(자원에 액세스할 수 있는 사용자가 사용자 자체 LDAP 입력 파트인지 식별하는 속성) 세트에 일치하는지 확인합니다.

      예:

      LDAPRequire filter "(&(jobtitle=accountant)(location=newyork))"

      이 양식의 LDAPRequire를 사용하기 위해 IBM HTTP Server는 ldap.user.cert.filter를 사용하여 사용자에 제공된 CN을 DN으로 변환해야 합니다. IBM HTTP Server는 사용자 DN을 기본으로 사용하여 검색하고 LDAPRequire 지시문에 제공된 검색 필터를 사용해야 합니다. 결과가 리턴되면 권한 부여가 성공한 것입니다.

      예:

      ldapsearch ... -b "cn=user1,ou=otherunit,o=myorg,c=US" "(&(jobtitle=accountant)
      (location=newyork))" 

      LDAP의 일부 속성(동적 역할로도 부름)은 LDAP 서버가 동적으로 계산하며 검색 필터에 유효하지 않은 다른 시멘틱으로 되어 있을 수도 있습니다. 해당 값이 앞의 예에서 사용되고 IBM HTTP Server에서 권한 부여에 사용될 수 없는 경우 이 값은 실패하게 됩니다.

    • 인증 전용: LDAP을 사용하여 사용자 암호를 확인한 합니다.

      Require 지시문을 사용하여 특정 사용자로 제한하거나 AuthGroupFile을 사용하여 일반 그룹을 유지보수할 수 있습니다.

  5. ldap.prop 구성 파일을 편집하십시오. 아직 없는 경우 IBM HTTP Server와 함께 제공되는 ldap.prop.sample 파일을 사용할 수 있습니다. 올바른 값에 대한 정보는 LDAP 서버 관리자를 참조하십시오. 사용자 환경에 올바른 값으로 다음 지시문을 갱신하십시오.
    1. 웹 서버 연결 정보를 입력하십시오.
    2. SSL, LDAPS 또는 SSL에서 LDAP을 사용하는 경우
      • ldap.transport를 SSL 값으로 변경
      • ldap.URL에 LDAPS 프로토콜 및 적절한 포트 값(예: 636)이 포함되도록 변경
      • SSL 키 데이터베이스가 사용되도록 구성, 예:
        ldap.key.fileName=/path_to/key.kdb
        
        ldap.key.file.password.stashFile=/path_to/stashfile
        여기서 stashfilebin/ldapstash 명령으로 작성됩니다.
        ldap.key.label=label
        여기서 label은 참조된 key.kdb에 대해 IKEYMAN에 표시된 값입니다.

결과

mod_ibm_ldap 지시문을 사용하여 ldap.application.dn 사용자로 인증하는 서버 연결 풀 유지보수를 검색합니다. 첫 번째 연결은 첫 번째 LDAP 보호(LDAP-protected) 요청이 수신되면 작성됩니다. 연결은 해당 연결의 후속 검색이나 다른 요청의 연결을 위해 지정된 초동안(ldap.idleConnection.timeout) 열려 있습니다.

로그를 읽거나 IP 추적을 보는 경우 이벤트가 다음 순서로 발생합니다.




부속주제
LDAP(Lightweight Directory Access Protocol)
Lightweight Directory Access Protocol 서버 조회
SSL(Secure Sockets Layer) 및 LDAP(Lightweight Directory Access Protocol) 모듈
SSL 인증 철회 목록
LDAP 지시문
타스크 주제    

이용약관 | 피드백

마지막 갱신 날짜: Feb 24, 2009 1:17:31 AM CST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.ihs.doc/info/ihs/ihs/tihs_ldapconfig.html