Autenticando com LDAP no IBM HTTP Server Usando mod_ldap

É possível configurar o Lightweight Directory Access Protocol (LDAP) para autenticar e proteger arquivos no IBM® HTTP Server.

Antes de Iniciar

[AIX Solaris HP-UX Linux Windows] Boas Práticas: Se você estiver usando o módulo mod_ibm_ldap para sua configuração LDAP, considere migrar suas diretivas mod_ibm_ldap para usar o módulo mod_ldap. O módulo mod_ibm_ldap é fornecido com esta liberação do IBM HTTP Server para compatibilidade com as liberações anteriores, no entanto, você deve migrar configurações existentes para usar os módulos mod_authnz_ldap e mod_ldap para assegurar suporte futuro para sua configuração LDAP.

A diretiva LoadModule para LDAP não carrega no IBM HTTP Server, por padrão. Sem a diretiva LoadModule, os recursos do LDAP não ficam disponíveis para uso.

Para ativar a função LDAP, inclua uma diretiva LoadModule no arquivo do IBM HTTP Server, httpd.conf, conforme a seguir:
LoadModule ldap_module modules/mod_ldap.so
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so

Sobre Esta Tarefa

A autenticação LDAP é fornecida pelos módulos Apache mod_ldap e mod_authnz_ldap.
  • O módulo mod_ldap fornece conjunto de conexões e armazenamento em cache LDAP.
  • O mod_authnz_ldap usa o conjunto de conexões LDAP e serviços de armazenamento em cache para fornecer autenticação de Web client.
Consulte os Web sites a seguir para obter descrições detalhadas das diretivas LDAP (ldap_module e authnz_ldap_module):

Procedimento

  1. Edite o arquivo de configuração httpd.conf do IBM HTTP Server.
  2. Determine o recurso para o qual deseja limitar o acesso. Por exemplo: <Directory "/secure_info">
  3. Inclua a diretiva LDAPTrustedGlobalCert em httpd.conf se a conexão do IBM HTTP Server com o servidor LDAP for uma conexão SSL.

    A diretiva LDAPTrustedGlobalCert especifica o caminho do diretório e o nome do arquivo da autoridade de certificação (CA) confiável que o mod_ldap usa ao estabelecer uma conexão SSL com um servidor LDAP.

    Os certificados podem ser armazenados em um arquivo .kdb ou em um anel chave SAF. Se um arquivo .kdb for utilizado, um arquivo .sth deverá estar localizado no mesmo caminho de diretório e ter o mesmo nome de arquivo, mas a extensão deverá ser .sth em vez de .kdb.

    [AIX Solaris HP-UX Linux Windows] A diretiva LDAPTrustedGlobalCert deve ser um tipo de valor CMS_KEYFILE. Use este valor se os certificados indicados pela diretiva LDAPTrustedGlobalCert forem armazenados em um arquivo .kdb.

    [z/OS] A diretiva LDAPTrustedGlobalCert deve ser um tipo de valor SAF_KEYRING. Use este valor se os certificados indicados pela diretiva LDAPTrustedGlobalCert forem armazenados em um conjunto de chaves SAF. Exemplo de quando o certificado está armazenado em um arquivo .kdb:

    [AIX Solaris HP-UX Linux Windows]
    LDAPTrustedGlobalCert CMS_KEYFILE /path/to/keyfile.kdb myKDBpassword
    Exemplo de quando o certificado está armazenado em um anel de chave do SAF.
    [z/OS]
    LDAPTrustedGlobalCert SAF saf_keyring
    Importante: O ID do usuário que você usa para iniciar o IBM HTTP Server deve ter acesso ao conjunto de chaves SAF que você nomeia nesta diretiva. Se o ID do usuário não tiver acesso ao anel de chave do SAF, a inicialização do SSL falhará.
    Consulte Executando Configurações do Sistema z/OS Necessárias para obter informações sobre como acessar conjuntos de chaves SAF definidos no RACF.
  4. Inclua a diretiva AuthLDAPUrl, que especifica os parâmetros de procura do LDAP a serem utilizados.
    A sintaxe da URL é:
    ldap://host:port/basedn?attribute?scope?filter
  5. Inclua diretivas no httpd.conf para o local do diretório (contêiner) a ser protegido com valores específicos para seu ambiente, como, por exemplo:
    • Order deny,allow
    • Allow from all
    • AuthName "Título de seu Domínio protegido"
    • AuthType Basic
    • AuthBasicProvider ldap
    • AuthLDAPURL your_ldap_url
    • Require valid-user
    • AuthLDAPBindDN "cn=Directory Manager"
    • AuthLDAPBindPassword auth_password
    Para cada combinação de servidor LDAP, configuração de proteção e diretiva de proteção, codifique um contêiner Local semelhante ao seguinte exemplo:
    <Location /ldapdir>
      AuthName "whatever_LDAP"
      AuthType Basic
      AuthBasicProvider ldap
      AuthLDAPURL ldap://9.27.163.182:389/o=abc.xyz.com?cn?sub?
      Require valid-user
      AuthLDAPBindDN "cn=Directory Manager"
      AuthLDAPBindPassword d44radar
    </Location>
    http://publib.boulder.ibm.com/httpserv/manual70/mod/mod_authnz_ldap.html
Tópico de Tarefa    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_apacheldapcfg
Nome do arquivo: tihs_apacheldapcfg.html