LDAP: Server HTTP IBM
Amministrazione del sistema Documentazione di IBM HTTP Server

Uso di Lightweight Directory Access Protocol

In questa sezione vengono fornite informazioni su Lightweight Directory Access Protocol (LDAP). Queste informazioni includono concetti base, argomenti generali e note associateNota: Insieme a procedure di query, installazione e configurazione. I collegamenti alle informazioni correlate vengono visualizzati alla fine di questa sezione.
Riservato agli utenti di Linux per S/390 Nota: Questa sezione è applicabile a tutti i sistemi operativi supportati tranne Linux per S/390.

Introduzione a Lightweight Directory Access Protocol

Nella seguente sezione viene descritto cosa è LDAP e come funziona e vengono fornite ampie informazioni su X.500 e LDAP.

Cos'è LDAP?

Lightweight Directory Access Protocol (LDAP) esiste come directory di informazioni in cui vengono definiti utenti e gruppi solo una volta per poi essere condivisi tra più macchine e applicazioni.

Come funziona LDAP?

Il plug-in LDAP di IBM HTTP Server abilita la directory all'esecuzione dell'autenticazione e dell'autorizzazione necessarie quando si accede a risorse protette. Questa funzionalità riduce notevolmente il costo amministrativo per la gestione locale delle informazioni sugli utenti e sui gruppi per ciascun server Web.

IBM HTTP Server supporta LDAP, un protocollo che consente di accedere alla directory X.500 su una connessione TCP o SSL. LDAP consente di memorizzare informazioni in un servizio directory ed elabora le richieste in un database. Quando si utilizzano le directory X.500 e LDAP, ogni applicazione abilitata a LDAP può memorizzare le informazioni, ad esempio le informazioni sull'autenticazione di un utente, una volta che le altre applicazioni che utilizzano il server LDAP sono in grado di riconoscerle.

LDAP riduce le risorse di sistema necessarie includendo solo un sottogruppo funzionale del DAP (Directory Access Protocol) X.500 originale.

Il supporto LDAP di IBM HTTP Server include diverse configurazioni LDAP:

  • Un singolo server LDAP
  • I diversi server LDAP a cui si è avuto accesso per differenti richieste. Ad esempio, le richieste possono giungere da due diversi indirizzi IP e il server Web può contattare un diverso server LDAP per ogni richiesta.

In queste informazioni si presume che l'utente disponga di un servizio di directory X.500, ad esempio, la directory IBM SecureWay X.500.

Panoramica su X.500

X.500 offre un servizio di directory con componenti che forniscono una funzione di richiamo più efficiente. LDAP utilizza due di questi componenti: il modello informazione, che determina la forma e il carattere, e lo spazio nome, che consente l'indicizzazione e il riferimento alle informazioni.

La struttura di directory X.500 differisce dalle altre per il modo in cui le informazioni vengono memorizzate e richiamate. Questo servizio di directory associa le informazioni con gli attributi. Una query basata sugli attributi viene creata e trasferita al server LDAP che restituisce i rispettivi valori. LDAP utilizza un approccio semplice, basato sulle stringhe, per rappresentare le voci di directory.

Una directory X.500 è costituita da voci che vengono immesse in base all'attributo ObjectClass. Ogni voce è composta da attributi. L'attributo ObjectClass identifica il tipo di voce, ad esempio la persona o la società, che determina quali attributi sono necessari e quali sono opzionali.

È possibile suddividere le voci, sistemate in una struttura ad albero, tra i server in una distribuzione organizzativa e geografica. Il servizio directory denomina le voci in base alla relativa posizione nella gerarchia di distribuzione per il nome distinto (DN).

Panoramica su LDAP

L'accesso ad una directory X.500 richiede un determinato protocollo, ad esempio DAP (Directory Access Protocol). Tuttavia, DAP richiede grandi quantità di risorse di sistema e meccanismi di supporto per gestire la complessità del protocollo. LDAP è stato introdotto per abilitare le stazioni di lavoro del desktop ad accedere al servizio directory X.500.

LDAP, un protocollo basato su server e client, è in grado di gestire alcune delle risorse pesanti richieste dai client LDAP. Un server LDAP può restituire al client solo risultati o errori, gravando poco sul client. Se è impossibile rispondere a una richiesta del client, il server X.500 deve concatenare la richiesta ad un altro server X.500. Il server deve completare la richiesta o restituire un errore al server LDAP, che, a sua volta, trasferisce le informazioni al client.

Esecuzione di query nel server LDAP utilizzando i filtri di ricerca LDAP

LDAP accede alla directory X.500 attraverso stringhe leggibili. Quando queste stringhe di query vengono trasferite al server LDAP, il server restituisce il nome distinto della voce.

Per semplificare le ricerche, le voci LDAP vengono immesse o classificate in base ad un attributo ObjectClass. Ad esempio, è possibile ricercare una directory LDAP con objectclass=acl per individuare tutte le voci utilizzando gli elenchi di controllo accesso.

Un filtro di ricerca per una voce LDAP ha la seguente struttura:

  • I filtri devono cominciare e finire con parentesi. Vedere gli esempi riportati di seguito che illustrano la posizione delle parentesi nelle interrogazioni complesse.
  • I filtri possono contenere i seguenti attributi di confronto booleani:
    • & - AND booleano.
    • | - OR booleano.
    • ! - NOT booleano.
  • Per una classe oggetto particolare può essere necessario un nome attributo.
  • I filtri possono contenere le seguenti espressioni di uguaglianza
    • = - uguale a
    • ~= - all'incirca uguale a
    • >= - maggiore di
    • <= - minore di
  • I filtri devono contenere il valore dell'attributo sul quale effettuare la ricerca. Questo valore può contenere caratteri jolly.

Per ulteriori informazioni sui filtri di ricerca LDAP, vedere RFC 1980.

Esempi di filtri di ricerca LDAP

Il seguente filtro di ricerca LDAP: (cn=Mario Rossi) ricerca il servizio directory per il nome Mario Rossi. Le possibili corrispondenze includono: 

Mario Rossi

Il seguente filtro di ricerca: (!(cn=Giovanna Bianchi) esegue query al servizio directory delle voci il cui nome è diverso da Giovanna Bianchi. Le possibili corrispondenze includono: 

Gennaro Esposito
Davide Anselmi
Qualsiasi nome diverso da Giovanna Bianchi.

Il seguente filtro di ricerca: (&objectClass=acl)((sn=Di Giacomo) esegue query a tutte le voci dell'elenco di controllo dell'accesso che corrispondono al cognome Di Giacomo. Le possibili corrispondenze includono: 

Pietro Di Giacomo
Salvatore Di Giacomo

Il filtro di ricerca seguente: (o=univ*di*napol*) esegue query all'attributo della società. Le possibili corrispondenze includono: 

Università di Napoli Federico II
Università di Napoli Istituto Navale

Suggerimento: LDAP può restituire più voci. Il server Web tuttavia non esegue l'autenticazione quando restituisce più voci. Se l'Università di Napoli Federico II e l'Università di Napoli - Istituto Navale sono state incluse nella directory interrogata in questo esempio, verranno restituite entrambe le voci ma non viene eseguita l'autenticazione. E' necessario modificare il filtro di ricerca.
Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Installazione del client LDAP

L'esecuzione del modulo LDAP di IBM HTTP Server richiede uno scaricamento distinto del client LDAP. E' possibile ottenere il client LDAP:

  • Installazione del client dal CD di SecureWay directory fornito con IBM WebSphere Application Server V3.5 e versioni successive.
  • Scaricamento del client da un sito Web ed installazione al di fuori di quella di IBM HTTP Server.

Suggerimento: Se il client viene scaricato da un sito Web, è possibile visualizzare i riferimenti a SecureWay directory. SecureWay directory contiene il client LDAP che consente l'accesso ai server con capacità LDAP. Queste direttive si riferiscono solo al sistema operativo Windows NT.

Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Per scaricare il client LDAP da un sito Web:

  1. Aprire un browser e andare a: Scarica LDAP
  2. Fare clic sulla versione della piattaforma applicabile. Viene visualizzata la finestra Codice valutazione directory SecureWay.
  3. Fare clic su Scarica.
  4. Fare clic sulla versione della piattaforma V4.1 applicabile del software Directory Server e di Client Software Developer Kits elencati.
  5. Fare clic su Download.
  6. Selezionare il linguaggio appropriato per la scelta della piattaforma nella finestra SecureWay directory and Client SDK Version 4.1 facendo clic su freccia giù e selezionando il linguaggio.
  7. Fare clic su Continua.
  8. Registrare l'operazione e fornire un ID utente e una password, se richiesti nella finestra successiva.

  9. Ridurre il file.
  10. Installare il client seguendo le direttive contenute nella guida relativa all'installazione e alla configurazione.
Riservato agli utenti AIX
Riservato agli utenti HP-UX
Riservato agli utenti Linux
Riservato agli utenti Solaris

Non è necessario scaricare il client LDAP sui sistemi operativi AIX, HP, Linux e Solaris.

Configurazione di LDAP su IBM HTTP Server

Per configurare LDAP su IBM HTTP Server in modo da proteggere i file, seguire la procedura riportata di seguito.

  1. Per definire in base all'utente:
    1. Avviare IBM Administration Server.
    2. Andare a Autorizzazioni di accesso > Accesso principale e inserire il file LdapConfigFile (C:/Programmi/IBM HTTP Server/conf/ldap.prop) nel campo del file di configurazione LDAP:. Questo file è obbligatorio.

    3. Immettere il nome dell'area di autenticazione relativo alla directory nel campo Nome dell'area di autenticazione .
  2. Per definire in base al gruppo:

    LDAPRequire group "nome_gruppo"
    Esempio: LDAPRequire group "utenti amministrativi"

  3. Per definire in base al filtro:

    4. LDAPRequire filter "filtro_ricerca_ldap"
    Ad esempio: LDAPRequire filter "(&(objectclass=person)(cn=*)(ou=IHS)(o=IBM))"

    Nota La direttiva LDAPRequire funziona solo se viene inserita manualmente nel file httpd.conf.

  4. Per creare una connessione LDAP, è necessario fornire le informazioni relative al server LDAP utilizzato. Modificare il file delle proprietà LDAP, sample ldap.prop, trovato nella directory conf di IBM HTTP Server e inserire le direttive applicabili.
    • Immettere le informazioni relative alla connessione al server Web
    • Immettere le informazioni sulla connessione al client
    • Immettere le impostazioni di timeout

  5. Fare clic su Inoltra per continuare o su Ripristina per cancellare il modulo.
Informazioni correlate
     (Torna all'inizio)