[AIX Solaris HP-UX Linux Windows]

mod_ibm_ldap から mod_ldap へのディレクティブの変換

IBM® HTTP Server がご使用の LDAP 構成を引き続きサポートできるようにするため、mod_ibm_ldap モジュールを使用するディレクティブを、mod_ldap Apache モジュールを使用するように変換します。

始める前に

変換するディレクティブを決定します。

以下のステップを実行してディレクティブを変換します。

手順

  1. httpd.conf 構成ファイルまたは ldap.prop 構成ファイル内の LoadModule ディレクティブを編集して mod_ibm_ldap を削除します。
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. mod_ldap の LoadModule ディレクティブを httpd.conf 構成ファイルに追加します。
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.soLoadModule ldap_module modules/mod_ldap.so
  3. 次のディレクティブのうち 1 つ以上を変換します。 ディレクティブの変換について詳しくは、mod_ibm_ldap の移行に関するトピックを参照してください。
    注: ディレクティブによっては、1 対 1 で対応しない場合があります。
    表 1. LDAP 構成のディレクティブ変換
    mod_ibm_ldap mod_ldap
    ldapCodePageDir なし。コード・ページ・ディレクトリーを、インストール場所から移行することはできません。
    LdapConfigFile include
    LdapRequire require
    ldap.application.authType なし。mod_ldap の AuthLDAPBindDN ディレクティブが指定された場合、基本認証が選択されます。AuthLDAPBindDN を指定しない場合は、認証タイプを何も選択しない (匿名) ことになります。mod_ldap 構成で LDAPTrustedClientCert の値を指定した場合は、証明書認証タイプが選択されます。
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile なし。mod_ldap モジュールは、隠蔽されたパスワードを使用するためのディレクティブを提供しません。
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter なし。mod_ldap モジュールは、AuthLDAPURL ディレクティブの末尾で指定されたフィルターを使用します。
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout なし。mod_ldap モジュールは、接続タイムアウト用のディレクティブを提供しません。
    ldap.key.file.password.stashfile なし。mod_ldap モジュールは、隠蔽されたパスワードを使用するためのディレクティブを提供しません。LDAPTrustedGlobalCert ディレクティブの末尾に、平文で鍵ファイルのパスワードを指定してください。あるいは、LDAPTrustedGlobalCert ディレクティブのパスワードを省略すると、mod_ldap モジュールは /path/to/keyfile.kdb を LDAPTrustedGlobalCert ディレクティブの指定値と見なし、自動的に /path/to/keyfile.sth ファイルを検索します。
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm なし。mod_ibm_ldap では、このディレクティブの値はロギングの目的にのみ使用されていました。mod_ldap では、これに相当するディレクティブは不要です。
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType なし。mod_ldap モジュールは、提供されるユーザー ID およびパスワードの資格情報に基づいてユーザーを認証します。
    ldap.user.cert.filter なし。mod_ldap モジュールはクライアント証明書を直接処理しません。 許可に関するディレクティブは、SSL モジュールで設定された環境の値を使用します。
    ldap.user.name.fieldSep なし。mod_ldap モジュールは、指定された資格情報を構文解析してサブコンポーネントにする機能をサポートしません。
    ldap.user.name.filter なし。mod_ldap モジュールは、ユーザー名フィルターを AuthLDAPURL ディレクティブの一部として指定します。
    ldap.version なし。mod_ldap モジュールは LDAP バージョン 3 のみを使用します。
    ldap.waitToRetryConnection.interval なし。接続の試行が失敗した場合、mod_ldap モジュールは一定の間隔で接続を再試行することはありません。接続の再試行を最大 10 回行った後で、接続要求は失敗します。
  4. 構成を確認するために、検査フラグを設定して Apache 制御を実行します。
    <ihsinst>bin/apachectl -t
    重要: 構成チェックでは構文の正しさを確認しますが、最適な構成であることを確認するために、ディレクティブに対する構成の変更をディレクティブ関連の資料によって検証する必要があります。
    重要: オプションで使用された ldap.* 形式の mod_ibm_ldap ディレクティブは、ldap プレフィックスを除いた形式で LDAPConfigFile 構成ファイル内にすべて表示されます。

mod_ldap の SSL 構成

次の構成ディレクティブでは、SSL 使用可能 LDAP 構成のサンプルを示します。 一部のディレクティブではデフォルト値を指定しており、通常それらを指定する必要はありませんが、説明のために残してあります。デフォルト値を指定するディレクティブは「##」記号でコメントにして含めています。

##LDAPReferrals On
##LDAPReferralHopLimit 5

LDAPTrustedGlobalCert CMS_KEYFILE /full/path/to/ldap_client.kdb clientkdbPassword
#この kdb では、デフォルトの証明書は my_cert1 です

#別の方法としては、SAF ベースの鍵リングについて、それをサポートするシステム上で次のように指定することができます。
#LDAPTrustedGlobalCert SAF saf_keyring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /path/to/htdocs

		# LDAP URL には、必要な場合 ldaps: が使用されるため、無視されます。
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /path/to/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# This LDAPTrustedClientCert is required to use a different certificate
    # than the default
    LDAPTrustedClientCert CMS_LABEL my_cert2
				AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
				AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword		AuthName "Private root access"
				require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

		<Directory "/path/to/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
				#Uses default cert (my_cert1)
				##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)				AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword				AuthName "当月ログインの従業員"
 				require ldap-attribute description="当月の従業員です。"
	</Directory>

		<Directory "/path/to/htdocs/development_groups">

				#サブグループ関連のディレクティブに対してはデフォルト値があるため、
				#LDAP 構造が異なる場合にのみ、指定する必要があります。
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # This LDAPTrustedClientCert is required to use a different certificate
				# than the default	 LDAPTrustedClientCert CMS_LABEL my_cert3
				AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
						(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
				AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
 		AuthLDAPBindPassword mypassword				AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
				require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None
タスク・トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_convertmodibmldap
ファイル名: tihs_convertmodibmldap.html