使用輕裝備目錄存取通信協定
這一節提供輕裝備目錄存取通信協定 (LDAP) 的相關資訊。
這項資訊包括基本概念、總覽主題和相關附註
,以及查詢、安裝和配置程序。
這一節的結尾有相關資訊的鏈結。
這一節適用於 Linux for S/390 以外所有支援的作業系統。
簡介輕裝備目錄存取通信協定
下一節處理 LDAP 是什麼及其運作方式的問題,它提供 X.500 和 LDAP 的高階總覽。
什麼是 LDAP?
輕裝備目錄存取通信協定 (LDAP) 是一種資訊目錄,您只需在其中定義一次使用者和群組,就可以讓多部機器及多個應用程式共用它們。
LDAP 如何運作?
IBM HTTP Server LDAP 外掛程式使目錄能夠在存取保護的資源時,執行必要的鑑別及授權。 這項功能可大大地降低每部 Web 伺服器在本端維護使用者和群組資訊時的管理負荷。
IBM HTTP Server 支援透過 TCP 或 SSL 連線來使用存取 X.500 目錄的 LDAP 通信協定。 LDAP 可讓您將資訊儲存在目錄服務中,並可讓您在資料庫中進行查詢。 當您使用 X.500 目錄及 LDAP 時,當使用 LDAP 伺服器的其他應用程式能夠辨識這項資訊時, 任何啟用 LDAP 的應用程式都可以儲存資訊(如使用者鑑別資訊)。
LDAP 縮減了必要的系統資源,其方法為併入原始 X.500 目錄存取通信協定 (DAP) 的部分功能。
IBM HTTP Server LDAP 支援的 LDAP 配置選項包括:
- 單一 LDAP 伺服器
- 不同的 LDAP 伺服器供不同的要求存取。 比方說,要求可能來自兩個不同的 IP 位址,Web 伺服器可以依每項要求來聯絡不同的 LDAP 伺服器。
這項資訊假設您目前已經有 X.500 目錄服務,例如,IBM SecureWay X.500 目錄。
X.500 總覽
X.500 是一種目錄服務,含有擷取能力更強的元件。 LDAP 使用其中兩種元件:決定套表和字元的資訊模型,以及可供編製資訊索引及參照資訊的名稱空間。
X.500 目錄結構不同於資訊儲存和擷取中的其他其他目錄結構。 這個目錄服務會將資訊關聯於屬性。 它會根據屬性來產生查詢,並將查詢傳送到 LDAP 伺服器,伺服器則會傳回個別的值。 LDAP 會使用簡單的、字串式的方法來表示目錄項目。
X.500 目錄由以 ObjectClass 為基礎的類型化項目組成。 每個項目都由屬性組成。 ObjectClass 屬性會識別項目的類型(如人員或組織),可判定哪些屬性是必要的,而哪些屬性是選用的。
您可以利用樹狀結構來安排,以依地理及組織的分佈,將各項目分到各伺服器中。 目錄服務會依據項目在配置階層中的位置,以識別名稱 (DN) 來命名這些項目。
LDAP 總覽
存取 X.500 目錄需要某些通信協定,例如:「目錄存取通信協定」(DAP)。但是,DAP 需要大量的系統資源及支援機制,才能處理通信協定的複雜性。 為了使桌面工作站能夠存取 X.500 目錄服務,已引進了 LDAP。
LDAP 是主從式的通信協定,可處理 DAP 從屬站所需的某些大量資源。 LDAP 伺服器只可以傳回結果或錯誤給從屬站,而且只需要一點點的從屬站資源。 如果 X.500 伺服器無法回答從屬站要求,它必須將要求鏈接至另一個 X.500 伺服器。 這個伺服器必須完成要求或傳回錯誤給 LDAP 伺服器,進而將資訊傳遞給從屬站。
利用 LDAP 搜尋過濾條件查詢 LDAP 伺服器
LDAP 會藉由使用人類可讀取的字串來存取 X.500 目錄。 當這些查詢字串傳遞到 LDAP 伺服器時,伺服器會傳回該項目的識別名稱。
您會發現 ObjectClass 屬性已將 LDAP 項目依類型或類別分類,以簡化搜尋程序。 比方說,您可以利用 objectclass=acl 來搜尋 LDAP 目錄,以利用存取控制清單找出所有項目。
LDAP 項目的搜尋過濾具有下列結構:
- 過濾程式必須用括弧來開頭及結尾。 請參閱下列範例,它會顯示將括弧放置在複合查詢中的位置。
- 過濾程式可能會包含下列 Boolean 比較:
- & - Boolean AND
- | - Boolean OR
- ! - Boolean NOT
- 特定物件類別可以要求屬性名稱。
- 過濾條件可以包含下列等式
- = - 等於
- ~= - 大約等於
- >= - 大於
- <= - 小於
- 過濾條件必須包含所要搜尋的屬性值。這個值可以包含萬用字元。
LDAP 搜尋過濾的相關資訊,請參閱 RFC 1960。
檢視 LDAP 搜尋過濾範例
下列 LDAP 搜尋過濾條件 (cn=Joe Smith) 會搜尋一般名稱 Joe Smith 的目錄服務。 可能的相符項目包括:
Joe Smith
下列搜尋過濾條件 (!(cn=Jane Doe)) 會查詢一般名稱不等於 Jane Doe 之項目的目錄服務。 可能的相符項目包括:
Joe Schmoe Adam Fosset 任何不是 Jane Doe 的名稱
下列搜尋過濾條件 (&objectClass=acl)((sn=Johnson) 會查詢符合姓 Johnson 的所有存取控制清單 (ACL) 項目。 可能的相符項目包括:
Peter Johnson Davey Johnson
下列搜尋過濾條件 (o=univ*of*carolin*) 會查詢組織屬性。 可能的相符項目包括:
University of North Carolina Chapel Hill University of South Carolina
LDAP 可能會傳回一個以上的項目。
不過,當傳回多個項目時,Web 伺服器會無法鑑別。
如果這個範例所查詢的目錄中包含 University of North Carolina 及 University of South Carolina,伺服器會傳回這兩個項目,且鑑別會失敗。
您必須改變搜尋過濾條件。
安裝 LDAP 從屬站
執行 IBM HTTP Server LDAP 模組需要個別下載 LDAP 從屬站。 您可以由以下方式取得 LDAP 從屬站:
- 從 IBM WebSphere Application Server 第 3.5 版和更新的版本所檢附的 SecureWay Directory CD 安裝從屬站。
- 從網站下載從屬站,然再將從屬站安裝在 IBM HTTP Server 安裝架構之外。
如果您是從網站下載從屬站,您可能會看到 SecureWay Directory 參照。
SecureWay Directory 含有可用來存取有 LDAP 功能之伺服器的 LDAP 從屬站。
這些指示只適用於 Windows NT 作業系統。
如果要從網站下載 LDAP 從屬站:
- 開啟瀏覽器並連線至:LDAP Download
- 按一下適用的平台版本。即會出現 SecureWay Directory Evaluation Code 視窗。
- 按一下下載。
- 按一下列出的目錄伺服器軟體和 Client Software Developer Kits 之適當的第 4.1 版平台版。
- 按一下下載。
- 在「SecureWay 目錄和從屬站 SDK 第 4.1 版」視窗中,按下移鍵,再按一下語言,以選取平台選項所適用的語言。
- 按一下繼續。
- 登錄下載,如果下一個視窗要求,請提供使用者 ID 和密碼。
- 解壓縮該檔案。
- 依照安裝與配置手冊的指示安裝從屬站。
您不需要在 AIX、HP、Linux 和 Solaris 作業系統中下載 LDAP 從屬站。
在 IBM HTTP Server 上配置 LDAP
如果要在 IBM HTTP Server 中配置 LDAP 來保護檔案,請遵循下列步驟:
- 依使用者定義:
- 啟動 IBM 管理伺服器。
- 移至存取許可權 > 一般存取,並在「LDAP:配置檔」欄位中插入 LdapConfigFile (C:/Program Files/IBM HTTP Server/conf/ldap.prop)。 這個檔案是必要的。
- 在「鑑別範圍名稱」欄位內輸入目錄的鑑別範圍名稱。
- 依群組定義:
LDAPRequire group "group_name"
例如:LDAPRequire group"Administrative Users" - 依過濾條件定義:
- 如果要建立 LDAP 連線,請提供所用的 LDAP 伺服器的相關資訊。
請編輯您的 LDAP 內容檔(IBM HTTP Server conf 目錄中的 sample ldap.prop),並插入適用的指引:
- 輸入 Web 伺服器連線資訊
- 輸入從屬站連線資訊
- 輸入逾時設定值
- 按一下送出,繼續作業;或按一下重設來清除套表。
LDAPRequire filter "ldap_search_filter"
比方說:LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"
LDAPRequire 指引必須手動插入 httpd.conf 檔,才能運作。
| 尋找相關資訊 |
(返回頂端)