[AIX Solaris HP-UX Linux Windows][z/OS]

Lightweight Directory Access Protocol

Dieser Abschnitt enthält Antworten auf Fragen zu LDAP (Lightweight Directory Access Protocol) und seiner Funktionsweise sowie Übersichten über X.500 und LDAP.

LDAP ist ein Standardprotokoll, mit dem Informationen zu Personen, Gruppen und Objekten auf einem zentralen X.500- oder LDAP-Verzeichnisserver gespeichert und von diesem abgerufen werden können. X.500 unterstützt die Organisation und Abfrage dieser Informationen mit LDAP von mehreren Web-Servern, die unterschiedliche Attribute haben. LDAP-Abfragen können je nach Bedarf einfach oder komplex sein, um die gewünschte Entität bzw. Gruppe von Entitäten zu ermitteln. LDAP reduziert die erforderlichen Systemressourcen und verwendet nur eine Untergruppe des ursprünglichen X.500-Protokolls DAP (Directory Access Protocol) verwendet.

Das LDAP-Modul von IBM HTTP Server unterstützt die Verwendung eines X.500-Verzeichnisservers für Authentifizierung und Berechtigung. IBM HTTP Server kann diese Funktionalität nutzen, um den Zugriff auf eine Ressource auf eine kontrollierte Gruppe von Benutzern zu beschränken. Damit kann der administrative Aufwand, der mit der Verwaltung von Benutzer- und Gruppeninformationen für jeden einzelnen Web-Server normalerweise verbunden ist, verringert werden.

Sie können das LDAP-Modul von IBM HTTP Server für TCP/IP- oder SSL-Verbindungen (Secure Sockets Layer) zum X.500-Verzeichnisserver konfigurieren. Das LDAP-Modul kann auf einen LDAP-Server oder auf mehrere Server verweisen.

Übersicht über X.500. X.500 ist ein Verzeichnisservice mit Komponenten, die Ihnen effizientere Abfragemöglichkeiten bieten. LDAP verwendet zwei dieser Komponenten: das Informationsmodell, das das Format und den Charakter bestimmt, und den Namespace, der die Indexierung und Referenzierung ermöglicht.

Die X.500-Verzeichnisstruktur unterscheidet sich in Bezug auf das Speichern und das Abrufen von Informationen von anderen Verzeichnissen. Dieser Verzeichnisservice ordnet Informationen Attributen zu. Eine auf Attributen basierende Abfrage wird generiert und an den LDAP-Server übergeben, und der Server gibt die entsprechenden Werte zurück. LDAP verwendet eine einfache zeichenfolgebasierte Methode für die Darstellung von Verzeichniseinträgen.

Ein X.500-Verzeichnis setzt sich aus typisierten Einträgen zusammen, die auf dem Attribut ObjectClass basieren. Jeder Eintrag enthält Attribute. Das Attribut ObjectClass gibt den Typ des Eintrags an, beispielsweise eine Person oder Organisation, der die erforderlichen und optionalen Attribute bestimmt.

Die in einer Baumstruktur angeordneten Einträge können auf Server verteilt werden, die räumlich und organisatorisch voneinander getrennt sind. Der Verzeichnisservice weist den Einträgen entsprechend ihrer Position in der Verteilungshierarchie einen definierten Namen (DN) zu.

Übersicht über Lightweight Directory Access Protocol. Für den Zugriff auf ein X.500-Verzeichnis ist Directory Access Protocol (DAP) erforderlich. Aufgrund der Komplexität des Protokolls erfordert DAP jedoch umfangreiche Systemressourcen und Unterstützungsmechanismen. LDAP wurde eingeführt, damit auch Desktop-Workstations auf den X.500-Verzeichnisservice zugreifen können.

LDAP, ein Client/Server-basiertes Protokoll, kann einige der von DAP-Clients benötigten wichtigen Ressourcen verarbeiten. Ein LDAP-Server kann dem Client nur Ergebnisse und Fehler zurückgeben und fordert nur wenig vom Client. Wenn ein LDAP-Server eine Clientanforderung nicht beantworten kann, muss er die Anforderung an einen anderen X.500-Server weiterleiten. Der Server muss die Anforderung bearbeiten oder einen Fehler an den LDAP-Server zurückgeben, der diese Informationen wiederum an den Client sendet.

IBM HTTP Server unterstützt die folgenden LDAP-Server:
[8.5.5.0 oder höher]

ldapsearch zum Beheben von Konfigurationsproblemen verwenden

Es gibt Situationen, in denen Ihre LDAP-Konfiguration möglicherweise nicht richtig funktioniert. Beispiel:
  • Der definierte Name (DN) ist nicht in der Administrator-ACL (Access Control List, Zugriffssteuerungsliste) enthalten und kann nicht für LDAP-Abfragen verwendet werden.
  • Der definierte Name wurde aufgrund zu vieler fehlgeschlagener Anmeldeversuche aus LDAP ausgeschlossen.
  • Das DN-Kennwort wurde geändert.
  • Der LDAP-Server lässt keine anonymen Abfragen zu.
  • Der in WebSphere Application Server definierte Standardfilter passt nicht zu Ihren Einstellungen (wenn z. B. objectclass=someObjectClass definiert wird)
  • Die Firewall lässt keine Kommunikation über den Port zu.
  • LDAP ist so konfiguriert, dass es einen anderen Port als den Standardport 389 verwendet.
  • Die LDAP-Administrator-ID wird für die Server-ID verwendet, doch die Administrator-ID ist nicht als regulärer Benutzer definiert.
Für diese und andere Situationen, die möglicherweise verhindern, dass Ihre LDAP-Konfiguration richtig funktioniert, können Sie das Problem mit ldapsearch schnell beheben. ldapsearch ist ein Befehlszeilendienstprogramm, das dem Programm ähnelt, das von WebSphere Application Server zum Abfragen des LDAP-Servers in der Administrationskonsole verwendet wird. Beispiel:
ldapsearch –h <Host> -p <Port> -b “<Basis-DN>” –D <DN für Bindung> -w <Kennwort für Bindung> “<Benutzerfilter>”
Für diese Angaben gilt Folgendes:
Host
Der Hostname des LDAP-Servers. Der Hostname kann ein Kurzname, ein ausgeschriebener Name oder eine IP-Adresse sein.
Port
Der LDAP-Standardport ist 389.
Basis-DN
Der Ausgangspunkt für die Abfrage in Ihrer LDAP-Struktur.
DN für Bindung
Der vollständig qualifizierte Name, der die Berechtigung hat, Ihren LDAP-Server zu binden und die angeforderten Abfragen durchzuführen. Einige LDAP-Server lassen anonyme Abfragen zu, es sind also keine definierten Namen oder Kennwörter für Bindung erforderlich.
Kennwort für Bindung
Das Kennwort des definierten Namens (DN) für die Bindung.
Benutzerfilter
Die Zeichenfolge, die zum Abfragen des LDAP-Servers verwendet wird.
Beispielabfragen mit "ldapsearch":
C:\>ldapsearch -h petunia -p 389 -b "o=ibm,c=us" uid=test
cn=test,o=ibm,c=us
sn=test
objectclass=top
objectclass=organizationalPerson
objectclass=ePerson
objectclass=person
objectclass=inetOrgPerson
uid=test
cn=test
C:\>ldapsearch -h petunia -p 389 -b "o=ibm,c=us" "(&(uid=test)(objectclass=ePerson))"
cn=test,o=ibm,c=us
sn=test
objectclass=top
objectclass=organizationalPerson
objectclass=ePerson
objectclass=person
objectclass=inetOrgPerson
uid=test
cn=test
Konzeptartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 19, 2014 09:53 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_ldap
Dateiname: cihs_ldap.html