[AIX Solaris HP-UX Linux Windows]

Conversión de directivas de mod_ibm_ldap a mod_ldap

Convierta las directivas que utilizan el módulo mod_ibm_ldap para que utilicen el módulo Apache mod_ldap para garantizar el soporte continuado de IBM® HTTP Server para la configuración LDAP.

Antes de empezar

Determine qué directivas desea convertir.

Siga estos pasos para convertir las directivas.

Procedimiento

  1. Edite la directiva LoadModule en el archivo de configuración httpd.conf o ldap.prop para eliminar mod_ibm_ldap.
    LoadModule ibm_ldap_module modules/mod_ibm_ldap.so
  2. Añada la directiva LoadModule de mod_ldap en el archivo de configuración httpd.conf.
    LoadModule authnz_ldap_module modules/mod_authnz_ldap.so
    LoadModule ldap_module modules/mod_ldap.so
  3. Convierta una o más de las directivas siguientes. Para obtener más información sobre cómo convertir las directivas, consulte el tema sobre la migración de mod_ibm_ldap.
    Nota: Puede que no exista una correlación unívoca para algunas directivas.
    Tabla 1. Conversión de directivas de configuración LDAP
    mod_ibm_ldap mod_ldap
    ldapCodePageDir Ninguna. El directorio codepages no puede moverse de la ubicación donde se ha instalado.
    LdapConfigFile incluir
    LdapRequire necesaria
    ldap.application.authType Ninguna. Si se especifica la directiva mod_ldap, AuthLDAPBindDN, obtendrá la autenticación Basic. Si no se especifica AuthLDAPBindDN, obtendrá lo que hubiera sido el tipo de autenticación None (anónimo). Si la configuración mod_ldap especifica un valor LDAPTrustedClientCert, obtendrá el tipo de autenticación Cert.
    ldap.application.DN AuthLDAPBindDN
    ldap.application.password AuthLDAPBindPassword
    ldap.application.password.stashFile Ninguna. El módulo mod_ldap no proporciona una directiva para utilizar contraseñas ocultas.
    ldap.cache.timeout LDAPCacheTTL
    ldap.group.dnattributes AuthLDAPSubGroupClass
    ldap.group.memberattribute AuthLDAPSubGroupAttribute
    ldap.group.memberattributes AuthLDAPGroupAttribute
    ldap.group.name.filter Ninguna. El módulo mod_ldap utiliza el filtro que se proporciona al final de la directiva AuthLDAPURL.
    ldap.group.search.depth AuthLDAPMaxSubGroupDepth
    ldap.group.URL AuthLDAPURL
    ldap.idleConnection.timeout Ninguna. El módulo mod_ldap no proporciona una directiva para tiempos de espera de conexión.
    ldap.key.file.password.stashfile Ninguna. El módulo mod_ldap no proporciona una directiva para utilizar contraseñas ocultas. Especifique la contraseña del archivo de claves, en texto simple, al final de la directiva LDAPTrustedGlobalCert. De forma alternativa, omita la contraseña en la directiva LDAPTrustedGlobalCert y el módulo mod_ldap buscará automáticamente un archivo /vía de acceso/a/keyfile.sth, suponiendo que /vía de acceso/a/keyfile.kdb es el valor especificado de la directiva LDAPTrustedGlobalCert.
    ldap.key.fileName LDAPTrustedGlobalCert
    ldap.key.label LDAPTrustedClientCert
    ldap.ReferralHopLimit LDAPReferralHopLimit
    ldapReferrals LDAPReferrals
    ldap.realm Ninguna. El valor de mod_ibm_ldap de esta directiva sólo se ha utilizado a efectos de registro cronológico. No se necesita ninguna directiva equivalente en mod_ldap.
    ldap.search.timeout LDAPSearchTimeout
    ldap.transport LDAPTrustedMode
    ldap.URL AuthLDAPURL
    ldap.user.authType Ninguna. El módulo mod_ldap autentica a los usuarios basándose en las credenciales de ID de usuario y contraseña proporcionadas.
    ldap.user.cert.filter Ninguna. El módulo mod_ldap no trabaja directamente con certificados de cliente. Las directivas de autorización utilizan los valores de entorno establecidos por el módulo SSL.
    ldap.user.name.fieldSep Ninguna. El módulo mod_ldap no proporciona soporte de análisis de las credenciales proporcionadas en subcomponentes.
    ldap.user.name.filter Ninguna. El módulo mod_ldap especifica el filtro de nombre de usuario como parte de la directiva AuthLDAPURL.
    ldap.version Ninguna. El módulo mod_ldap utiliza sólo LDAP versión 3.
    ldap.waitToRetryConnection.interval Ninguna. El módulo mod_ldap no tiene un retardo temporizado entre reintentos de conexión cuando falla un intento de conexión. El intento de conexión se vuelve a intentar un máximo de 10 veces antes de que falle la solicitud.
  4. Ejecute el control Apache con el distintivo verify para comprobar la configuración.
    <instihs>bin/apachectl -t
    Atención: Esta comprobación de configuración confirma que la sintaxis es correcta, pero debe comprobar los cambios de configuración de una directiva utilizando la documentación para esa directiva, con el fin de garantizar una configuración óptima.
    Atención: Todas las directivas mod_ibm_ldap que utilizan el formato ldap.* solían aparecer opcionalmente en el archivo de configuración LDAPConfigFile sin el prefijo ldap.

Una configuración SSL mod_ldap

Las directivas de configuración siguientes muestran una configuración LDAP habilitada para SSL de ejemplo. Algunas de las directivas especifican valores predeterminados que normalmente no se especificarían, pero se han conservado para proporcionar el contexto. Se incluyen estas directivas, pero están comentadas con los símbolos '##".

##LDAPReferrals On
##LDAPReferralHopLimit 5

LDAPTrustedGlobalCert CMS_KEYFILE /vía de acceso/completa/a/ldap_client.kdb clientkdbPassword
#cert predeterminado en este kdb es my_cert1

# De forma alternativa, puede especificar un conjunto de claves basado en SAF, en sistemas que lo soporten, de la manera siguiente:
#LDAPTrustedGlobalCert SAF saf_keyring

<VirtualHost *>
	ServerAdmin admin@my.address.com
	DocumentRoot /vía de acceso/a/htdocs

	# Se ignora porque las URL de LDAP utilizan ldaps:, cuando es necesario
  ##LDAPTrustedMode SSL

  <Directory /minimal_ldap_config>
	  AuthBasicProvider ldap
    AuthLDAPURL ldap://our_ldap.server.org/o=OurOrg,c=US
    AuthName "Private root access"
    require valid-user
  </Directory>

	<Directory /vía de acceso/a/htdocs>
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		# Este LDAPTrustedClientCert es necesario para utilizar un certificado distinto
    # del predeterminado
    LDAPTrustedClientCert CMS_LABEL my_cert2
		AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub? (objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Private root access"
		require ldap-group cn=OurDepartment,o=OurOrg,c=us
	</Directory>

	<Directory "/vía de acceso/a/htdocs/employee_of_the_month">
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
		#Uses default cert (my_cert1)
		##LDAPTrustedClientCert CMS_LABEL my_cert1
    AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
		AuthLDAPBindPassword mypassword
		AuthName "Employee of the month login"
 		require ldap-attribute description="Employee of the Month."
	</Directory>

	<Directory "/vía de acceso/a/htdocs/development_groups">

  #Estos son los valores predeterminados de las directivas relacionadas con subgrupos y sólo deben
  #especificarse cuando la estructura LDAP difiere.
		##AuthzLDAPAuthoritative on
		AuthBasicProvider ldap
    # Este LDAPTrustedClientCert es necesario para utilizar un certificado distinto
		# del predeterminado LDAPTrustedClientCert CMS_LABEL my_cert3
		AuthLDAPURL ldaps://groups_ldap.server.org:636/o=OurOrg,c=US?cn?sub?
			(|(objectclass=groupofnames)(object class=groupo1 funiquenames))
		AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"
 		AuthLDAPBindPassword mypassword
		AuthName "Developer Access"
		AuthLDAPGroupAttribute member
 		AuthLDAPMaxSubGroupDepth 2
		AuthLDAPSubGroupClass groupOfUniqueNames
		##AuthLDAPSubGroupClass groupOfNames
		##AuthLDAPSubGroupAttribute uniqueMember
		##AuthLDAPSubGroupAttribute member
		require ldap-group cn=Developers_group,o=OurOrg,c=us
	</Directory>
	</VirtualHost>

LDAPTrustedMode None 
Tema de tarea    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_convertmodibmldap
Nombre de archivo: tihs_convertmodibmldap.html