[AIX Solaris HP-UX Linux Windows][z/OS]

Migración de directivas mod_ibm_ldap

Este artículo contiene información para ayudarle a migrar de directivas existentes que utilizan el módulo mod_ibm_ldap a la utilización de módulos LDAP de código abierto (mod_authnz_ldap y mod_ldap). La migración garantizará el soporte futuro de su configuración LDAP.

Atención: Aunque muchas de las directivas mod_ibm_ldap están situadas en el archivo ldap.prop, todas las directivas LDAP de código abierto se encuentran en el archivo httpd.conf.

Las características LDAP de código abierto las proporcionan dos módulos. El módulo mod_authnz_ldap proporciona las directivas AuthLDAP y el módulo mod_ldap proporciona las directivas LDAP. Deben cargarse ambos módulos para que las característica LDAP estén disponibles. En la siguiente sección se utiliza el nombre genérico mod_ldap para hacer referencia a los módulos LDAP de código abierto.

ldapCodePageDir

El módulo mod_ldap no proporciona una directiva para especificar un directorio de páginas de códigos. El directorio de páginas de códigos se instala automáticamente en el directorio correcto y no puede moverse de su ubicación instalada.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldapCodePageDir /ubicación/de/páginas de códigos

LDAPConfigfile

El módulo mod_ldap no proporciona una directiva para especificar un archivo de configuración LDAP. Aunque no hay ninguna directiva mod_ldap para especificar el archivo de configuración LDAP, si desea colocar la configuración LDAP en un archivo aparte, puede utilizar la directiva include de Apache.

Convierta esto:
ldapConfigFile ldap.prop
en esto:
Include /location/of/ldap_conf/apache_ldap.conf

Otra alternativa para migrar la directiva LDAPConfigfile de mod_ibm_ldap es utilizar el contenedor AuthnProviderAlias del módulo mod_authn_alias para crear una o más agrupaciones de directivas ldap y, a continuación, utilizarlas haciendo referencia a las etiquetas de alias, cuando sea necesario.

LdapRequire

El módulo mod_ldap proporciona la directiva require, con extensiones LDAP, para la seguridad de autenticación LDAP.

Si ha utilizado require valid-user previamente para IBM HTTP Server, puede dejar esta directiva require sin modificarla. Para obtener el máximo nivel de seguridad de autenticación LDAP, debe migrar require valid-user a un formato más específico. Para obtener más información, consulte la documentación de Apache para estas directivas require: ldap-user, ldap-dn, ldap-attribute, ldap-group, ldap-filter y valid-user.

Convierta esto:
LdapRequire filter "(&(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg))" 
LdapRequire group MyDepartment
en esto:
require ldap-filter &(objectclass=person)(cn=*)(ou=OurUnit)(o=OurOrg)
require ldap-group cn=MyDepartment,o=OurOrg,c=US

ldap.application.authType

El módulo mod_ldap no proporciona una directiva que especifique un tipo de autenticación. Si se especifica un valor para la directiva AuthLDAPBindDN, se habilita la autenticación básica. Si no se especifica un valor para la directiva AuthLDAPBindDN, se habilita lo que antes era el tipo de autenticación None para el módulo mod_ibm_ldap, o anónimo.

Si se especifica un valor para la directiva LDAPTrustedClientCert, se utiliza automáticamente el tipo de autenticación de certificado.
ldap.application.authType=[None | Basic | Cert]

ldap.application.DN

El módulo mod_ldap proporciona la directiva AuthLDAPBindDN para determinar el tipo de autenticación de la aplicación.

Si se especifica un valor para la directiva AuthLDAPBindDN, el valor de la directiva authType es Basic. Si no se habilita la directiva AuthLDAPBindDN, el valor de la directiva authType es None. Si se especifica un valor para la directiva LDAPTrustedClientCert, el valor de la directiva authType es Cert.

Importante: AuthLDAPBindDN también toma el lugar de ldap.application.authtype.
Convierta esto:
ldap.application.DN=cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US
en esto:
AuthLDAPBindDN "cn=ldapadm,ou=OurDirectory,o=OurCompany,c=US"

ldap.application.password

El módulo mod_ldap proporciona la directiva AuthLDAPBindPassword para especificar una contraseña de enlace. El valor se almacena en el archivo de configuración como texto sin formato. Por lo tanto, debe restringir el acceso al archivo de configuración

Convierta esto:
ldap.application.password=mypassword
en esto:
AuthLDAPBindPassword mypassword

ldap.application.password.stashFile

El módulo mod_ldap no proporciona una directiva para ocultar la contraseña. La directiva AuthLDAPBindPassword es el único medio de especificar una contraseña y el valor se almacena en el archivo de configuración como texto sin formato. Por lo tanto, debe restringir el acceso al archivo de configuración.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.application.password.stashfile=/vía acceso/a/stashfile.sth

ldap.cache.timeout

El módulo mod_ldap proporciona la directiva LDAPCacheTTL para especificar un tiempo de espera para la memoria caché de LDAP. La directiva LDAPCacheTTL tiene un ámbito global y debe ubicarse en el nivel superior del archivo de configuración. Esto difiere del módulo mod_ibm_ldap, ya que la directiva ldap.cache.timeout puede ubicarse en cualquier lugar del archivo de configuración.

Convierta esto:
ldap.cache.timeout=60
en esto:
LDAPCacheTTL 60
El valor predeterminado es 600 segundos.

ldap.group.dnattributes

El módulo mod_ldap proporciona la directiva AuthLDAPSubGroupClass para especificar las clases de objetos que identifican los grupos. Para el módulo mod_ibm_ldap, todos los valores se especificaban en una sola línea de directiva; pero para el módulo mod_ldap, los valores pueden especificarse todos en una línea o en varias líneas, con la directiva y un valor en cada línea.

Convierta esto:
ldap.group.dnattributes=groupOfNames GroupOfUniqueNames
en esto:
AuthLDAPSubGroupClass groupOfNames
AuthLDAPSubGroupClass groupOfUniqueNames
Estos son los valores predeterminados.

ldap.group.memberattribute

El módulo mod_ldap proporciona la directiva AuthLDAPSubGroupAttribute para especificar las etiquetas que identifican a los miembros del subgrupo del grupo actual. Para el módulo mod_ibm_ldap, sólo podía especificar una etiqueta; no obstante, para el módulo mod_ldap, puede especificar varias etiquetas, incluyendo todas las etiquetas en una línea de directiva o proporcionando varias líneas de directiva, con cada etiqueta en una línea de directiva diferente.

Convierta esto:
ldap.group.memberattribute=member
en esto:
AuthLDAPSubGroupAttribute member
AuthLDAPSubGroupAttribute uniqueMember

ldap.group.memberattributes

El módulo mod_ldap proporciona la directiva AuthLDAPGroupAttribute para especificar las etiquetas que identifican los miembros del grupo actual como, por ejemplo, un usuario o un subgrupo. Para el módulo mod_ibm_ldap, se especificaban todas las etiquetas en una línea de directiva; pero para el módulo mod_ldap, puede especificarlas todas en una línea de directiva o especificar cada etiqueta en una línea de directiva diferente.

Convierta esto:
ldap.group.membreattributes=member uniqueMember
en esto:
AuthLDAPGroupAttribute member
AuthLDAPGroupAttribute uniqueMember

ldap.group.name.filter

El módulo mod_ldap no proporciona una directiva para especificar filtros de usuario y de grupo diferentes. El módulo mod_ldap utiliza el filtro que se proporciona al final de la directiva AuthLDAPURL. Puede utilizar la directiva de contenedor AuthnProviderAlias, que proporciona el módulo mod_authn_alias, para crear distintos alias my_ldap_user_alias y my_ldap_group_alias que contengan las directivas ldap necesarias. A continuación, puede utilizar el alias de grupo en las ubicaciones donde la autorización se controla según la pertenencia a grupos.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.group.name.filter=(&(cn=%v1)(|(objectclass=groupofnames)(objectclass=groupofuniquenames)))

ldap.group.search.depth

El módulo mod_ldap proporciona la directiva AuthLDAPMaxSubGroupDepth para limitar la profundidad recurrente que se aplica antes de detener los intentos de ubicar un usuario en grupos anidados.

Convierta esto:
ldap.group.search.depth=5
en esto:
AuthLDAPMaxSubGroupDepth 5
El valor por omisión es 10.

ldap.group.URL

El módulo mod_ldap no proporciona una directiva para especificar un servidor LDAP para autorizar una pertenencia a grupos que sea diferente del servidor LDAP que se utiliza para autenticar usuarios.

También debe especificar el servidor de grupo LDAP en la directiva AuthLDAPURL para el contenedor. Asegúrese de especificar el filtro correcto para cada grupo.

ldap.group.URL=ldap://groups_ldap.server.org:389/o=OurOrg,c=US
ldap.group.URL=ldaps://groups_ldap.server.org:636/o=OurOrg,c=US

ldap.idleConnection.timeout

El módulo mod_ldap no proporciona una directiva para especificar el tiempo de espera de las conexiones establecidas con el servidor LDAP que han quedado desocupadas. El módulo mod_ldap detecta automáticamente cuándo caducan las conexiones en el servidor LDAP, pero no hace que caduquen las conexiones.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.idleConnection.timeout=60

ldap.key.file.password.stashfile

Si no se especifica ninguna contraseña en la directiva LDAPTrustedGlobalCert, el módulo mod_ldap utiliza automáticamente un archivo /vía acceso/a/keyfile.sth (suponiendo que /vía acceso/a/keyfile.kdb es el archivo de claves que se especifica en la directiva LDAPTrustedGlobalCert).

Para obtener más información sobre cómo especificar la contraseña del archivo de claves, consulte la información de Apache para la directiva LDAPTrustedGlobalCert. El valor se almacena en el archivo de configuración como texto sin formato. Por lo tanto, debe restringir el acceso al archivo de configuración.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.key.file.password.stashfile=/vía acceso/a/ldap.sth

ldap.key.fileName

El módulo mod_ldap proporciona la directiva LDAPTrustedGlobalCert para especificar el archivo de claves que se va a utilizar al cargar los certificados. El módulo mod_ldap también utiliza estas directivas para especificar la contraseña en texto sin formato en el archivo de configuración. Por lo tanto, debe restringir el acceso al archivo de configuración.

Convierta esto:
ldap.key.filename=/vía acceso/a/keyfile.kdb
en esto:
[AIX Solaris HP-UX Linux Windows]
LDAPTrustedGlobalCert CMS_KEYFILE /vía acceso/a/keyfile.kdb contraseñaKDB

[z/OS]
LDAPTrustedGlobalCert SAF saf_keyring

ldap.key.label

El módulo mod_ldap proporciona la directiva LDAPTrustedClientCert para especificar qué certificado se debe utilizar del archivo de claves KDB. Si se utiliza el certificado predeterminado, no tendrá que especificar un valor para estas directivas.

Convierta esto:
ldap.key.label=certname_from_kdb
en esto:
LDAPTrustedClientCert CMS_LABEL certname_from_kdb

ldap.ReferralHopLimit

El módulo mod_ldap proporciona la directiva LDAPReferralHopLimit para limitar el número de referencias a seguir antes de detener los intentos de ubicar un usuario en un árbol de directorio distribuido.

Convierta esto:
ldapReferralHopLimit 5
en esto:
LDAPReferralHopLimit 5
El valor predeterminado es 5.

ldapReferrals

El módulo mod_ldap proporciona la directiva LDAPReferrals para habilitar o inhabilitar la búsqueda de referencias cuando se localizan usuarios en un árbol de directorio distribuido.

Convierta esto:
ldapReferrals On
en esto:
LDAPReferrals On
El valor predeterminado es On.

ldap.realm

El módulo mod_ldap proporciona la directiva AuthName para especificar el dominio de la autorización.

Convierta esto:
ldap.realm=texto identificativo
en esto:
AuthName "texto identificativo"

ldap.search.timeout

El módulo mod_ldap proporciona la directiva LDAPSearchTimeout para especificar cuándo se debe abandonar una solicitud de búsqueda.

Convierta esto:
ldap.search.timeout=10
en
LDAPSearchTimeout 10
El valor predeterminado es 10 segundos.

ldap.transport

El módulo mod_ldap proporciona la directiva LDAPTrustedMode para especificar el tipo de transporte de red a utilizar para comunicarse con el servidor LDAP.

Si no se especifica ningún puerto en la directiva AuthLDAPURL, el módulo mod_ldap hace caso omiso de la directiva LDAPTrustedMode y especifica el valor de transporte de red SSL. Para obtener más información, consulte la documentación de Apache para las directivas LDAPTrustedMode y AuthLDAPURL.

Puede especificar un valor para los siguientes tipos de transporte de red.
  • None o TCP, que indica sin cifrado. Si no se especifica ningún puerto en la directiva AuthLDAPURL, se utiliza el puerto 389.
  • SSL. Si se especifica el valor None, se utiliza el puerto 636.
  • TLS o STARTTLS. Estos tipos de código abierto no están soportados por IBM HTTP Server.
Convierta esto:
ldap.transport=TCP (o SSL)
en esto:
LDAPTrustedMode NONE (o SSL)
Si se especifica ldaps://URL, la modalidad se convierte en SSL y se ignora el valor de LDAPTrustedMode.

ldap.URL

El módulo mod_ldap proporciona la directiva AuthLDAPURL para especificar el nombre de host del servidor LDAP y el puerto, así como el DN base que se utilizará al conectar al servidor. El módulo mod_ldap también proporciona un medio para especificar el atributo de usuario, el ámbito, el filtro de usuario y la modalidad de transporte. Para obtener más información, consulte la documentación de Apache para las directivas AuthLDAPURL.

Convierta esto:
ldap.URL=ldap://our_ldap.server.org:389/o=OurOrg,c=US
ldap.URL=ldaps://our_ldap.server.org:636/o=OurOrg,c=US
en esto:
AuthLDAPURL ldap://our_ldap.server.org:389/o=OurOrg,c=US?cn?sub?(objectclass=person)
AuthLDAPURL ldaps://our_ldap.server.org:636/o=OurOrg,c=US?cn?sub?(objectclass=person)

ldap.user.authType

El módulo mod_ldap no proporciona una directiva para especificar un tipo de autenticación de usuario. El módulo mod_ldap autentica a los usuarios basándose en las credenciales de ID de usuario y contraseña proporcionadas.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.user.authType=Basic  [Basic | Cert | BasicIfNoCert]

ldap.user.cert.filter

El módulo mod_ldap no proporciona una directiva para filtrar los certificados de cliente. El módulo mod_ldap no trabaja directamente con certificados de cliente.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.user.cert.filter=(&(objectclass=person)(cn=%v1)(ou=%v2)(o=%v3)(c=%v4))

ldap.user.name.fieldSep

El módulo mod_ldap no proporciona una directiva para analizar las credenciales proporcionadas en subcomponentes. El módulo mod_ibm_ldap utiliza la directiva ldap.user.name.fieldsep para especificar los caracteres separadores que se utilizan para analizar las credenciales en las señales %v1, %v2, ...%vN.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.user.name.fieldSep=/ ,

ldap.user.name.filter

El módulo mod_ldap no proporciona una directiva para especificar el filtro de nombre de usuario. El módulo mod_ldap especifica el filtro de nombre de usuario como parte de la directiva AuthLDAPURL.

La directiva AuthLDAPURL combina el atributo de usuario especificado en la directiva con el filtro proporcionado para crear el filtro de búsqueda. El filtro proporcionado sigue la especificación de filtro de búsqueda estándar. El módulo mod_ldap tampoco proporciona la función de análisis de señales %vx disponible para el módulo mod_ibm_ldap.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.user.name.filter=(&(objectclass=person)(cn=%v1 %v2))

ldap.version

El módulo mod_ldap no proporciona una directiva para especificar la versión de LDAP. El módulo mod_ldap utiliza sólo LDAP versión 3.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.version=2  (o 3)

ldap.waitToRetryConnection.interval

El módulo mod_ldap no proporciona una directiva para especificar un periodo de tiempo antes de reintentar una conexión anómala. El módulo mod_ldap no tiene un retardo temporizado entre reintentos de conexión cuando falla un intento de conexión. El intento de conexión se vuelve a intentar automáticamente un máximo de 10 veces antes de que falle la solicitud.

Cuando una nueva solicitud tiene que acceder al mismo servidor LDAP, la conexión se reintenta de nuevo un máximo de 10 veces. El regulador de reintentos se basa en el volumen de nuevas solicitudes enviadas al servidor LDAP.

Esta directiva mod_ibm_ldap no tiene equivalente mod_ldap:
ldap.waitToRetryConnection.interval=300
Tema de referencia    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=convertmodibmldapdirs
Nombre de archivo: rihs_convertmodibmldapdirs.html