IBM®
HTTP Server에서 파일을 인증하고 보호하려면 LDAP(Lightweight
Directory Access Protocol)을 구성할 수 있습니다.
시작하기 전에
우수 사례: LDAP
구성을 위해 mod_ibm_ldap 모듈을 사용 중인 경우
mod_ibm_ldap 지시문을 마이그레이션하여 mod_ldap 모듈 사용을
고려하십시오. mod_ibm_ldap 모듈은
이전 릴리스와의 호환성을 위해 이 IBM HTTP Server 릴리스에서 제공되지만,
LDAP 구성에 대한 미래 지원을 보장하기 위해
mod_authnz_ldap 및 mod_ldap 모듈을 사용하려면
기존 구성을 마이그레이션해야 합니다.
LDAP의
LoadModule 지시문은 기본적으로 IBM HTTP Server에 로드되지
않습니다. LoadModule 지시문이 없는 경우, LDAP 피처를
사용할 수 없습니다.
LDAP 기능을 사용하려면
다음과 같이 IBM HTTP
Server
httpd.conf 파일에 LoadModule 지시문을 추가하십시오.
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
이 태스크 정보
LDAP 인증은 mod_ldap 및 mod_authnz_ldap Apache 모듈에서
제공됩니다.
- mod_ldap 모듈은 LDAP 연결 풀링 및 캐싱을 제공합니다.
- mod_authnz_ldap은 LDAP 연결 풀링 및 캐싱 서비스를 사용하여
웹 클라이언트 인증을 제공합니다.
LDAP(ldap_module 및 authnz_ldap_module) 지시문의 상세한
설명을 보려면 다음 웹 사이트를 참조하십시오.
프로시저
- httpd.conf IBM HTTP
Server 구성 파일을 편집하십시오.
- 액세스를 제한하려는 자원을 판별하십시오. 예:
<Directory "/secure_info">
- LDAP 서버에 대한 IBM HTTP Server 연결이 SSL 연결인
경우 httpd.conf에 LDAPTrustedGlobalCert 지시문을
추가하십시오.
LDAPTrustedGlobalCert 지시문은
mod_ldap이 LDAP 서버에 대한 SSL 연결을 설정할 때 사용하는
신뢰할 수 있는 인증 기관(CA)의 디렉토리 경로 및 파일 이름을
지정합니다.
인증서는 .kdb 파일이나
SAF 키 링에 저장할 수 있습니다. .kdb 파일을
사용하는 경우, .sth 파일이 동일한 디렉토리 경로에
있어야 하고 파일 이름이 동일해야 하지만 확장자는 .kdb가
아니라 .sth여야 합니다.
LDAPTrustedGlobalCert 지시문은 CMS_KEYFILE 값 유형이어야
합니다. LDAPTrustedGlobalCert 지시문이 표시하는 인증서가 .kdb
파일에 저장되는 경우 이 값을 사용하십시오.
LDAPTrustedGlobalCert 지시문은 SAF_KEYRING 값 유형이어야
합니다. LDAPTrustedGlobalCert 지시문이 표시하는 인증서가 SAF 키 링에
저장되는 경우 이 값을 사용하십시오. 인증서가 .kdb
파일에 저장될 때의 예:
LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
인증서가 SAF 키 링에 저장된 경우의 예:
LDAPTrustedGlobalCert SAF saf_keyring
중요사항: IBM HTTP
Server를 시작하는 데 사용하는 사용자 ID가 이 지시문에서
이름 지정하는 SAF 키 링에 대한 액세스 권한을 가져야
합니다. 사용자 ID에 SAF 키 링에 대한 액세스 권한이 없을 경우
SSL 초기화에 실패합니다.
RACF®에 정의된 SAF 키 링 액세스에 대한
정보는 필수 z/OS 시스템 구성 수행의 내용을 참조하십시오.
- 사용할 LDAP 검색 매개변수를 지정하는 AuthLDAPUrl
지시문을 추가하십시오.
URL의 구문은 다음과 같습니다.
ldap://host:port/basedn?attribute?scope?filter
- 다음과 같이 사용자 환경에 특정한 값으로
보호될 디렉토리 위치(컨테이너)에 httpd.conf의
지시문을 추가하십시오.
- Order deny,allow
- Allow from all
- AuthName "보호 설정된 영역의 제목"
- AuthType Basic
- AuthBasicProvider ldap
- AuthLDAPURL your_ldap_url
- Require valid-user
- AuthLDAPBindDN "cn=Directory Manager"
- AuthLDAPBindPassword auth_password
LDAP 서버, 보호 설정, 보호 지시문의
각 조합의 경우, 다음 예와 비슷한 위치 컨테이너를
코딩하십시오.
<Location /ldapdir>
AuthName "whatever_LDAP"
AuthType Basic
AuthBasicProvider ldap
AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
Require valid-user
AuthLDAPBindDN "cn=Directory Manager"
AuthLDAPBindPassword d44radar
</Location>
http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html