LDAP の使用法 (Getting started with the Lightweight Directory Access Protocol)

このセクションは、Lightweight Directory Access Protocol (LDAP) の始動に関連する機能を説明します。 このセクションの終わりに、関連トピックへのリンクがあります。

• LDAP サーバー上のユーザーまたはグループ情報を使用したファイルまたはディレクトリーの保護
• 鍵リング・ファイルの使用
• セキュア・ソケット・レイヤーおよび LDAP モジュールの使用
• LDAP 接続の作成
• IBM HTTP Server 上でサポートされる LDAP サーバー
• 関連情報

LDAP サーバー上のユーザーまたはグループ情報を使用したファイルまたはディレクトリーの保護

ユーザー、グループ、あるいはフィルターを介して定義することで、ユーザーまたはグループ情報を使用したファイルおよびディレクトリーの保護を行うことができます。

ユーザーごとに定義するには、次のようにします。

IBM Administration Server を始動します。 アクセス許可 > 一般アクセスを選択し、「LDAP: 構成ファイル」フィールドに LdapConfigFile、C:/Program Files/IBM HTTP Server/conf/ldap.prop を挿入します。

「認証レルム名」フィールドにディレクトリーに対する認証レルム名を入力します。

グループごとに定義するには、次のように指定します。

LDAPRequire group "group_name"
例: LDAPRequire group "Administrative Users"

フィルターごとに定義するには、次のように指定します。

LDAPRequire filter "ldap_search_filter"
例: LDAPRequire filter"(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM)) "

LDAPRequire は、手動で httpd.conf ファイルに挿入される場合にのみ機能します。

鍵リング・ファイルの使用

LDAP サーバーとの通信に SSL を使用するように LDAP を構成するときに、 mod_ibm_ssl および mod_ibm_ldap ファイルを使用するためには、 mod_ibm_ssl および mod_ibm_ldap ファイルの両方が同じ鍵リング・ファイルを使用する必要があります。Web サーバーに対して SSL 接続を使用可能にして、 また Web サーバーと LDAP サーバーとの間のトランスポートとして SSL を使用している場合は、 (両方のモジュールに対して使用される) 鍵リング・ファイルを 1 つの鍵リング・ファイルにマージすることができます。 各モジュールの構成は、異なるデフォルト証明書を指定することができます。

セキュア・ソケット・レイヤーおよび LDAP モジュールの使用

Lightweight Directory Access Protocol (LDAP) モジュールと LDAP ディレクトリー・サーバーの間でセキュア・ソケット・レイヤー (SSL) を使用する場合は、 鍵のデータベース・ファイルに書き込みアクセス権が必要です。 鍵のデータベース・ファイルには識別を確立するための証明書が含まれており、また、セキュア環境においては、LDAP サーバーは Web サーバーに対して、認証情報について LDAP サーバーを照会するための証明書を提供するよう要求することがあります。 鍵のデータベース・ファイルには、Web サーバーが実行に使用する UNIX ユーザー ID によって書き込みアクセス権があることが必要です。

証明書は、ユーザーの証明書の盗用や上書きから他の証明書を守るために識別を確立します。 誰かが鍵のデータベース・ファイルに対する書き込み許可をもっていた場合、 その人はユーザーの証明書を取り出して、そのユーザーになりすますことができます。 鍵のデータベース・ファイルの所有者に対してのみ、読み取りまたは書き込み権限を付与してください。

LDAP モジュールでは stash ファイルが存在する場合でも、ユーザーの鍵のデータベースに対するパスワードが要求されます。ldapstash コマンドを使用して、 鍵のデータベース・ファイル・パスワードが含まれる LDAP stash ファイルを作成します。

LDAP 接続の作成

LDAP 接続を作成するには、LDAP サーバーに関する情報を提供してください。

1. IBM HTTP Server の conf ディレクトリーにあるサンプルの LDAP プロパティー・ファイル、ldap.prop を編集してください。 適用できるディレクティブを挿入します。
2. Web サーバー接続情報を入力します。
3. クライアント接続情報を入力します。
4. タイムアウト設定を入力します。

IBM HTTP Server 上でサポートされる LDAP サーバー

IBM HTTP Server は、以下の LDAP サーバーをサポートしています。

• iPlanet/Netscape Directory Server
• IBM SecureWay Directory Server

     (トップに戻る)