IBM HTTP Server での mod_ldap を使用した LDAP 認証

Lightweight Directory Access Protocol (LDAP) を構成して、IBM® HTTP Server 上のファイルを認証および保護することができます。

始める前に

[AIX Solaris HP-UX Linux Windows] ベスト・プラクティス: LDAP 構成に mod_ibm_ldap モジュールを使用している場合、mod_ibm_ldap ディレクティブを移行して mod_ldap モジュールを使用することを検討してください。mod_ibm_ldap モジュールは、今回の IBM HTTP Server リリースでは以前のリリースとの互換性のために提供されていますが、ご使用の LDAP 構成が今後も確実にサポートされるようにするには、既存の構成を移行して mod_authnz_ldap および mod_ldap モジュールを使用する必要があります。

LDAP の LoadModule ディレクティブは、デフォルトでは IBM HTTP Server にロードされません。LoadModule ディレクティブがないと、LDAP フィーチャーは使用できません。

LDAP 機能を使用可能にするには、以下のようにして、 IBM HTTP Server の httpd.conf ファイルに LoadModule ディレクティブを追加してください。
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

このタスクについて

LDAP 認証は、mod_ldap および mod_authnz_ldap Apache モジュールによって提供されます。
  • mod_ldap モジュールは、LDAP 接続のプールおよびキャッシングを提供します。
  • mod_authnz_ldap は、LDAP 接続プールおよびキャッシング・サービスを利用して Web クライアント認証を提供します。
LDAP (ldap_module および authnz_ldap_module) ディレクティブの詳細説明を取得するには、 以下の Web サイトを参照してください。

手順

  1. httpd.conf IBM HTTP Server 構成ファイルを編集します。
  2. アクセスを制限するリソースを決定します。 例えば、<Directory "/secure_info"> とします。
  3. IBM HTTP Server と LDAP サーバーとの接続が SSL 接続である場合は、LDAPTrustedGlobalCert ディレクティブを httpd.conf に追加します。

    LDAPTrustedGlobalCert ディレクティブは、LDAP サーバーに対して SSL 接続を確立する際に mod_ldap が使用するトラステッド認証局 (CA) のディレクトリー・パスおよびファイル名を指定します。

    証明書は、.kdb ファイルまたは SAF 鍵リングに格納することができます。 .kdb ファイルを使用している場合、.sth ファイルを同じディレクトリー・パスに配置し、ファイル名も同じにする必要があります。ただし、拡張子は .kdb ではなく .sth にしてください。

    [AIX Solaris HP-UX Linux Windows] LDAPTrustedGlobalCert ディレクティブは、CMS_KEYFILE 値タイプである必要があります。LDAPTrustedGlobalCert ディレクティブで示された証明書が .kdb ファイルに格納される場合は、この値を使用します。

    [z/OS] LDAPTrustedGlobalCert ディレクティブは、SAF_KEYRING 値タイプである必要があります。LDAPTrustedGlobalCert ディレクティブで示された証明書が SAF 鍵リングに格納される場合は、この値を使用します。 証明書を .kdb ファイルに格納する場合の例。

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
    証明書を SAF 鍵リングに格納する場合の例。
    [z/OS]
    LDAPTrustedGlobalCert SAF saf_keyring
    重要: IBM HTTP Server を始動するために使用するユーザー ID には、このディレクティブで指定された SAF 鍵リングへのアクセス権がなければなりません。ユーザー ID に SAF 鍵リングへのアクセス権がない場合、SSL 初期化は失敗します。
    RACF® で定義された SAF 鍵リングへアクセスする際の詳細情報については、必要な z/OS システム構成の実行を参照してください。
  4. AuthLDAPUrl ディレクティブを追加して、使用する LDAP 検索パラメーターを指定します。
    URL の構文は、次のとおりです。
    ldap://host:port/basedn?attribute?scope?filter
  5. 以下のように、httpd.conf 内のディレクティブをディレクトリー・ロケーション (コンテナー) に追加し、ご使用の環境に固有の値で保護します。
    • Order deny,allow
    • Allow from all
    • AuthName "保護レルムのタイトル"
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    以下の例のように、LDAP サーバー、保護セットアップ、および保護ディレクティブの組み合わせごとに、Location コンテナーをコード化します。
    <Location /ldapdir>
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html
タスク・トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_apacheldapcfg
ファイル名: tihs_apacheldapcfg.html