Authentifizierung mit LDAP in IBM HTTP Server über mod_ldap

Sie können Lightweight Directory Access Protocol (LDAP) für die Authentifizierung und den Schutz von Dateien in IBM® HTTP Server konfigurieren.

Vorbereitende Schritte

[AIX Solaris HP-UX Linux Windows] Bewährtes Verfahren: Wenn Sie das Modul "mod_ibm_ldap" für Ihre LDAP-Konfiguration verwenden, sollten Sie Ihre mod_ibm_ldap-Anweisungen auf das Modul "mod_ldap" migrieren. Das Modul "mod_ibm_ldap" wird in diesem Release von IBM HTTP Server für die Kompatibilität mit früheren Releases zwar noch bereitgestellt, aber Sie müssen vorhandene Konfigurationen auf die Verwendung der Module "mod_authnz_ldap" und "mod_ldap" umstellen, um die künftige Unterstützung Ihrer LDAP-Konfiguration zu gewährleisten.

Die Anweisung "LoadModule" für LDAP wird standardmäßig nicht in IBM HTTP Server geladen. Ohne die Anweisung "LoadModule" können die LDAP-Features nicht verwendet werden.

Wenn Sie die LDAP-Funktion aktivieren möchten, fügen Sie der Datei httpd.conf von IBM HTTP Server wie folgt eine Anweisung LoadModule hinzu:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

Informationen zu diesem Vorgang

LDAP-Authentifizierung wird über die Apache-Module "mod_ldap" und "mod_authnz_ldap" bereitgestellt.
  • Das Modul "mod_ldap" stellt LDAP-Verbindungs-Pooling und -Caching bereit.
  • Das Modul "mod_authnz_ldap" verwendet die LDAP-Verbindungs-Pooling- und LDAP-Caching-Services für die Bereitstellung von Web-Client-Authentifizierung.
Ausführliche Beschreibungen zu den LDAP-Anweisungen (ldap_module und authnz_ldap_module) finden Sie auf den folgenden Websites:

Vorgehensweise

  1. Editieren Sie die Konfigurationsdatei httpd.conf von IBM HTTP Server.
  2. Bestimmen Sie die Ressource, für die Sie den Zugriff beschränken möchten. Beispiel: <Verzeichnis "/secure_info">
  3. Fügen Sie die Anweisung "LDAPTrustedGlobalCert" der Datei httpd.conf hinzu, wenn es sich bei der Verbindung von IBM HTTP Server zum LDAP-Server um eine SSL-Verbindung handelt.

    Die Anweisung "LDAPTrustedGlobalCert" gibt den Verzeichnispfad und den Dateinamen der anerkannten Zertifizierungsstelle (CA, Certificate Authority) an, die das Modul "mod_ldap" bei der Herstellung einer SSL-Verbindung zu einem LDAP-Server verwendet.

    Zertifikate können in einer Datei mit der Erweiterung .kdb oder in einem SAF-Schlüsselring gespeichert werden. Wenn die Datei mit der Erweiterung .kdb verwendet wird, muss sich in demselben Verzeichnispfad eine Datei mit demselben Namen, jedoch mit der Erweiterung .sth statt .kdb befinden.

    [AIX Solaris HP-UX Linux Windows] Die Anweisung "LDAPTrustedGlobalCert" muss ein CMS_KEYFILE-Wertetyp sein. Verwenden Sie diesen Wert, wenn die von der Anweisung "LDAPTrustedGlobalCert" angegebenen Zertifikate in einer Datei mit der Erweiterung .kdb gespeichert sind.

    [z/OS] Die Anweisung "LDAPTrustedGlobalCert" muss ein SAF_KEYRING-Wertetyp sein. Verwenden Sie diesen Wert, wenn die mit der Anweisung "LDAPTrustedGlobalCert" angegebene Zertifikate in einem SAF-Schlüsselring gespeichert sind. Beispiel mit einem in einer Datei .kdb gespeicherten Zertifikat:

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /Pfad/zu/keyfile.kdb myKDBpassword
    Beispiel mit einem in einem SAF-Schlüsselring gespeicherten Zertifikat:
    [z/OS]
    LDAPTrustedGlobalCert SAF SAF-Schlüsselring
    Wichtig: Die Benutzer-ID, die zum Starten von IBM HTTP Server verwendet wird, muss auf den in dieser Anweisung genannten SAF-Schlüsselring zugreifen können. Kann die Benutzer-ID nicht auf den SAF-Schlüsselring zugreifen, schlägt die SSL-Initialisierung fehl.
    Informationen zum Zugreifen auf SAF-Schlüsselringe, die in RACF definiert sind, finden Sie im Artikel Erforderliche z/OS-Systemkonfigurationen durchführen.
  4. Fügen Sie die Anweisung AuthLDAPUrl hinzu, die die zu verwendenden LDAP-Suchparameter angibt.
    Syntax des URL lautet:
    ldap://host:port/basedn?attribute?scope?filter
  5. Fügen Sie der Datei httpd.conf Anweisungen für die zu schützende Verzeichnisposition (Container) hinzu, und geben Sie die für Ihre Umgebung zutreffenden Werte an. Beispiel:
    • Order deny,allow
    • Allow from all
    • AuthName "Name des geschützten Realms"
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL Ihr_LDAP-URL
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword Kennwort_für_Authentifizierung
    Codieren Sie für jede Kombination von LDAP-Servern, Zugriffsschutzkonfiguration und Schutzanweisung einen Positionscontainer ähnlich dem folgenden Beispiel:
    <Location /ldapdir>
      AuthName "beliebiges_LDAP"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html
Taskartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 19, 2014 09:53 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_apacheldapcfg
Dateiname: tihs_apacheldapcfg.html