Prise en main de LDAP
Cette section traite des fonctions impliquées dans la mise en oeuvre initiale du protocole LDAP (Lightweight Directory Access Protocol). La fin de cette section comprend des liens aux rubriques connexes.
- Protection des fichiers ou des répertoires à l'aide des définitions d'utilisateurs ou de groupes sur un serveur LDAP
- Utilisation de fichiers de clés
- Utilisation de SSL et du module LDAP
- Création d'une connexion LDAP
- Identification des serveurs LDAP acceptés par IBM HTTP Server
- Informations connexes
Protection des fichiers ou des répertoires à l'aide des définitions d'utilisateurs ou de groupes sur un serveur LDAP
Vous pouvez protéger des fichiers et des répertoires à l'aide de définitions par utilisateur, par groupe ou par filtre :
Définition par utilisateur :
Insérez manuellement les directives suivantes dans votre fichier de configuration, sous une section de répertoire (Directory) ou Location :
- LdapConfigFile | chemin du fichier de configuration LDAP |
- AuthName | nom |
- AuthType: basic
- Require valid -user
Définition par groupe :
LDAPRequire group "nom_groupe"
Par exemple : LDAPRequire group "Utilisateurs d'administration"
Définition par filtre :
LDAPRequire filter "filtre_recherche_ldap"
Par exemple : LDAPRequire filter"(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM)) "
La directive LDAPRequire ne fonctionne que si elle est insérée manuellement
dans le fichier httpd.conf.
Utilisation de fichiers de clés
Pour que les modules mod_ibm_ssl et mod_ibm_ldap puissent être utilisés en vue de communiquer avec le serveur LDAP via une connexion SSL, ils doivent obligatoirement partager le même fichier de clés (keyring). Si vous autorisez les connexions SSL au serveur Web et que vous utilisez également une liaison SSL comme moyen de transport entre le serveur Web et le serveur LDAP, les fichiers de clés utilisés pour les deux modules peuvent être fusionnés dans un seul fichier. La configuration de chaque module peut désigner un certificat par défaut différent.
Utilisation de SSL et du module LDAP
En cas d'utilisation du protocole SSL entre le module LDAP et le serveur d'annuaire LDAP, le fichier de la base de données de clés doit être accessible en écriture. La base de données de clés contient les certificats qui établissent l'identité de chaque individu. Or, dans un environnement sécurisé, le serveur LDAP peut exiger du serveur Web qu'il lui fournisse un certificat préalablement à la consultation de ses informations d'authentification. Le fichier de la base de données de clés doit être accessible en écriture à l'ID utilisateur UNIX sous lequel s'exécute le serveur Web.
Les certificats établissent l'identité. Il est donc important d'empêcher que vos certificats ne soient ni volés ni remplacés par d'autres certificats. Si une personne a des droits en lecture sur le fichier de la base de données de clés, elle peut en extraire les certificats d'un utilisateur et se faire passer pour celui-ci. C'est pourquoi personne ne doit avoir accès en lecture ou en écriture au fichier de la base de données de clés, hormis son propriétaire.
Le module LDAP exige le mot de passe d'accès à la base de données de clés de l'utilisateur, même s'il existe un fichier de dissimulation (stash) pour ce mot de passe. Utilisez la commande ldapstash pour créer un fichier de dissimulation LDAP contenant le mot de passe d'accès à la base de données de clés.
Création d'une connexion LDAP
Pour créer une connexion LDAP, vous devez fournir des informations concernant le serveur LDAP utilisé.
- Editez l'exemple de fichier de propriétés LDAP, ldap.prop, situé dans le répertoire conf d'IBM HTTP Server. Insérez-y les directives appropriées.
- Entrez les informations de connexion du serveur Web.
- Entrez les informations de connexion du client.
- Entrez les paramètres de délai.
Identification des serveurs LDAP acceptés par IBM HTTP Server
IBM HTTP Server reconnaît les serveurs LDAP suivants :
- iPlanet/Netscape Directory Server
- IBM SecureWay Directory Server
| Informations connexes |
(Retour au début)