[AIX Solaris HP-UX Linux Windows]

mod_ibm_ldap를 사용하여 IBM HTTP Server에서 LDAP 인증(분산 시스템)

이 절에서는 IBM® HTTP Server의 파일을 보호하기 위해 LDAP을 구성하는 방법에 대해 설명합니다.

시작하기 전에

제거된 기능 제거된 기능: mod_ibm_ldap 명령은 이전 릴리스와의 호환성을 위해 이 IBM HTTP Server 릴리스에 제공됩니다. LDAP 구성에 대해 mod_ibm_ldap 모듈을 사용하는 경우 LDAP 구성에 대한 향후 지원을 보장하기 위해 mod_authnz_ldap 및 mod_ldap modules를 사용하려면 기존 구성을 마이그레이션해야 합니다. mod_ldap 모듈 사용 방법에 대한 설명은 mod_ldap을 사용하여 IBM HTTP Server에서 LDAP으로 인증 주제를 참조하십시오. depfeat

기본적으로 LDAP 모듈은 IBM HTTP Server에 로드되지 않습니다. LoadModule 지시문이 없는 경우, LDAP 피처를 사용할 수 없습니다. LDAP 기능을 사용하려면 다음과 같이 IBM HTTP Server httpd.conf 파일에 LoadModule 지시문을 추가하십시오.

컴퓨터에 LDAP 클라이언트를 설치한 경우 ldapsearch를 다양한 설정에 사용하려는 값을 테스트하는 도구로 사용할 수 있습니다.

이 태스크 정보

LDAP(mod_ibm_ldap) 지시문의 상세한 설명을 보려면 LDAP 지시문의 내용을 참조하십시오.

프로시저

  1. httpd.conf IBM HTTP Server 구성 파일을 편집하십시오.
  2. 액세스를 제한하려는 자원을 결정하십시오. 예: <Directory "/secure_info">.
  3. 사용자의 환경에 고유한 값으로 보호되는 디렉토리 위치(컨테이너)로 httpd.conf에 지시문을 추가하십시오. 예:
    • LdapConfigFile path_to_ldap.prop
    • AuthType Basic
    • AuthName "보호 설정된 영역의 제목"
    • Require valid-user
  4. 기존 LDAP 설치를 인증하는 데 IBM HTTP Server를 사용하는 방법에는 세 가지 옵션이 있습니다.
    • LDAP 그룹 멤버쉽을 기반으로 하는 권한.
      LDAP을 사용하여 사용자 비밀번호를 확인하고 사용자가 LDAP에 정의된 그룹에 있는지 확인합니다.
      참고: 사용자가 자원에 액세스할 수 있는지 식별하는 멤버쉽은 사용자 자체 LDAP 입력 파트가 아니라 그룹의 파트입니다.

      예를 들어, 그룹에 대한 액세스를 제한하려면 다음 지시문을 추가하십시오.

      LDAPRequire group grp1

      이 양식의 LDAPRequire에 대해 그룹을 다음 규칙을 준수하는 LDAP 저장소에서 구성해야 합니다(예제의 그룹 이름 grp1 사용).

      • LDAP 저장소에 다음 검색 필터에 일치하는 항목이 있습니다. (여기서 groupofnamesgroupofuniquenames 값은 ldap.group.dnattributes에 지정된 예제 값입니다.)
        참고: ldap.group.dnattributes의 적절한 값은 LDAP 스키마의 그룹을 나타내는 objectclasses의 목록입니다.
        ldapsearch ... "(&(cn=grp1)(|(objectclass=groupofnames)
        (objectclass=groupofuniquenames)))"
      • "grp1"의 LDAP 항목의 파트로. 다음에 일치하는 일련의 속성이 있습니다(여기서 memberuniquemember 값은 ldap.group.memberAttributes의 예제 값입니다).
        참고: ldap.group.memberAttributes의 적절한 값은 그룹의 멤버쉽을 나타내는 objectclasses의 목록입니다. 이들 항목의 값은 사용자의 식별 이름(DN)입니다.
        ldapsearch ... "(&(cn=grp1)(|(objectclass=groupofnames)
        (objectclass=groupofuniquenames)))" member uniquemember 

        예:

        ldapsearch -x -h myldapserver -D cn=root -w rootpw
        "(&(cn=grp1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))" 
        member uniquemember
        dn: cn=group1,ou=myunit,o=myorg,c=US 
        member: cn=user1, ou=otherunit, o=myorg, c=US
        member: cn=user12, ou=otherunit, o=myorg, c=US 

        ldap.group.dnattributes에 나열된 유형의 오브젝트가 검색 중인 그룹의 멤버인 경우 ldap.group.search.depth에 지정된 깊이 만큼 동일한 유형으로 반복적으로 검색됩니다.

      • 첫 번째, IBM HTTP Server는 ldap.group.name.filter 및 ldap.user.cert.filter를 사용하여 사용자 및 그룹에 대해 제공되는 CN을 식별 이름(DN)으로 변환합니다. 그 다음, IBM HTTP Server가 그룹 DN을 값이 사용자 DN인 항목에 대한 기본으로 사용하여 검색합니다.

        예:

        ldapsearch ... -b "cn=grp1,ou=myunit,o=myorg,c=US" 
        "|((member=cn=user1,ou=otherunit,o=myorg,c=US) 
        (uniquemember=cn=user1,ou=otherunit,o=myorg,c=US))"
    • 사용자의 LDAP 속성을 기반으로 하는 권한. LDAP을 사용하여 사용자 비밀번호를 확인하고 사용자가 속성(자원에 액세스할 수 있는 사용자가 사용자 자체 LDAP 입력 파트인지 식별하는 속성) 세트에 일치하는지 확인합니다.

      예:

      LDAPRequire filter "(&(jobtitle=accountant)(location=newyork))"

      LDAPRequire의 이 양식을 사용하려면 IBM HTTP Server가 ldap.user.cert.filter를 사용하여 사용자에 대해 제공되는 CN을 DN으로 변환해야 합니다. IBM HTTP Server는 또한 사용자 DN을 기본으로 사용하여 검색하고 LDAPRequire 지시문에서 제공되는 검색 필터를 사용해야 합니다. 결과가 리턴되면 권한 부여가 성공한 것입니다.

      예:

      ldapsearch ... -b "cn=user1,ou=otherunit,o=myorg,c=US" "(&(jobtitle=accountant)
      (location=newyork))" 

      LDAP의 일부 속성(동적 역할로도 부름)은 LDAP 서버가 동적으로 계산하며 검색 필터에 유효하지 않은 다른 시멘틱으로 되어 있을 수도 있습니다. 그런 값은 앞의 예에서 사용되는 경우 실패할 수 있으며 IBM HTTP Server에서의 권한 부여에 사용할 수 없습니다.

    • 인증 전용: LDAP을 사용하여 사용자 비밀번호만 확인.

      Require 지시문을 사용하여 특정 사용자로 제한하거나 AuthGroupFile을 사용하여 일반 그룹 파일을 유지보수할 수 있습니다.

  5. ldap.prop 구성 파일을 편집하십시오. 아직 없는 경우 IBM HTTP Server와 함께 제공되는 ldap.prop.sample 파일을 사용할 수 있습니다. 올바른 값을 모르는 경우 LDAP 서버 관리자와 함께 확인하십시오. 사용자 환경에 올바른 값으로 다음 지시문을 업데이트하십시오.
    1. 웹 서버 연결 정보를 입력하십시오.
    2. SSL, LDAPS 또는 SSL에서 LDAP을 사용하는 경우
      • ldap.transport를 SSL 값으로 변경하십시오.
      • LDAPS 프로토콜 및 적절한 포트 값(예: 636)을 포함하도록 ldap.URL을 변경하십시오.
      • 사용할 SSL 키 데이터베이스를 구성하십시오. 예:
        ldap.key.fileName=/path_to/key.kdb
        ldap.key.file.password.stashFile=/path_to/stashfile
        여기서 stashfilebin/ldapstash 명령으로 작성됩니다.
        ldap.key.label=label
        여기서 label은 참조된 key.kdb에 대한 IKEYMAN에 나타나는 값입니다.

결과

mod_ibm_ldap 지시문을 사용하는 검색이 ldap.application.dn 사용자로 인증하는 서버 연결 풀을 유지보수합니다. 첫 번째 연결은 첫 번째 LDAP 보호(LDAP-protected) 요청이 수신될 때 작성됩니다. 연결은 해당 연결의 후속 검색이나 다른 요청의 연결을 위해 지정된 초 동안(ldap.idleConnection.timeout) 열려 있습니다.

로그를 읽거나 IP 추적을 보고 있는 경우 다음 이벤트 순서가 발생합니다.

태스크 주제    

Information Center에 대한 이용 약관 | 피드백

마지막 업데이트 날짜: October 20, 2014 04:25 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_ldapconfig
파일 이름: tihs_ldapconfig.html