![]() |
![]() Uso di Lightweight Directory Access ProtocolIn questa sezione vengono fornite informazioni su
Lightweight Directory Access Protocol (LDAP).
Queste informazioni includono concetti base, argomenti generali e
note associate |
|||
![]() |
![]() |
|||
Introduzione a Lightweight Directory Access ProtocolNella seguente sezione viene descritto cosa è LDAP e come funziona e vengono fornite ampie informazioni su X.500 e LDAP. Cos'è LDAP? Lightweight Directory Access Protocol (LDAP) esiste come directory di informazioni in cui vengono definiti utenti e gruppi solo una volta per poi essere condivisi tra più macchine e applicazioni. Come funziona LDAP? Il plug-in LDAP di IBM HTTP Server abilita la directory all'esecuzione dell'autenticazione e dell'autorizzazione necessarie quando si accede a risorse protette. Questa funzionalità riduce notevolmente il costo amministrativo per la gestione locale delle informazioni sugli utenti e sui gruppi per ciascun server Web. IBM HTTP Server supporta LDAP, un protocollo che consente di accedere alla directory X.500 su una connessione TCP o SSL. LDAP consente di memorizzare informazioni in un servizio directory ed elabora le richieste in un database. Quando si utilizzano le directory X.500 e LDAP, ogni applicazione abilitata a LDAP può memorizzare le informazioni, ad esempio le informazioni sull'autenticazione di un utente, una volta che le altre applicazioni che utilizzano il server LDAP sono in grado di riconoscerle. LDAP riduce le risorse di sistema necessarie includendo solo un sottogruppo funzionale del DAP (Directory Access Protocol) X.500 originale. Il supporto LDAP di IBM HTTP Server include diverse configurazioni LDAP:
In queste informazioni si presume che l'utente disponga di un servizio di directory X.500, ad esempio, la directory IBM SecureWay X.500.
Panoramica su X.500X.500 offre un servizio di directory con componenti che forniscono una funzione di richiamo più efficiente. LDAP utilizza due di questi componenti: il modello informazione, che determina la forma e il carattere, e lo spazio nome, che consente l'indicizzazione e il riferimento alle informazioni. La struttura di directory X.500 differisce dalle altre per il modo in cui le informazioni vengono memorizzate e richiamate. Questo servizio di directory associa le informazioni con gli attributi. Una query basata sugli attributi viene creata e trasferita al server LDAP che restituisce i rispettivi valori. LDAP utilizza un approccio semplice, basato sulle stringhe, per rappresentare le voci di directory. Una directory X.500 è costituita da voci che vengono immesse in base all'attributo ObjectClass. Ogni voce è composta da attributi. L'attributo ObjectClass identifica il tipo di voce, ad esempio la persona o la società, che determina quali attributi sono necessari e quali sono opzionali. È possibile suddividere le voci, sistemate in una struttura ad albero, tra i server in una distribuzione organizzativa e geografica. Il servizio directory denomina le voci in base alla relativa posizione nella gerarchia di distribuzione per il nome distinto (DN). Panoramica su LDAPL'accesso ad una directory X.500 richiede un determinato protocollo, ad esempio DAP (Directory Access Protocol). Tuttavia, DAP richiede grandi quantità di risorse di sistema e meccanismi di supporto per gestire la complessità del protocollo. LDAP è stato introdotto per abilitare le stazioni di lavoro del desktop ad accedere al servizio directory X.500. LDAP, un protocollo basato su server e client, è in grado di gestire alcune delle risorse pesanti richieste dai client LDAP. Un server LDAP può restituire al client solo risultati o errori, gravando poco sul client. Se è impossibile rispondere a una richiesta del client, il server X.500 deve concatenare la richiesta ad un altro server X.500. Il server deve completare la richiesta o restituire un errore al server LDAP, che, a sua volta, trasferisce le informazioni al client. Esecuzione di query nel server LDAP utilizzando i filtri di ricerca LDAPLDAP accede alla directory X.500 attraverso stringhe leggibili. Quando queste stringhe di query vengono trasferite al server LDAP, il server restituisce il nome distinto della voce. Per semplificare le ricerche, le voci LDAP vengono immesse o classificate in base ad un attributo ObjectClass. Ad esempio, è possibile ricercare una directory LDAP con objectclass=acl per individuare tutte le voci utilizzando gli elenchi di controllo accesso. Un filtro di ricerca per una voce LDAP ha la seguente struttura:
Per ulteriori informazioni sui filtri di ricerca LDAP, vedere RFC 1980.
Esempi di filtri di ricerca LDAPIl seguente filtro di ricerca LDAP: (cn=Mario Rossi) ricerca il servizio directory per il nome Mario Rossi. Le possibili corrispondenze includono: Mario Rossi Il seguente filtro di ricerca: (!(cn=Giovanna Bianchi) esegue query al servizio directory delle voci il cui nome è diverso da Giovanna Bianchi. Le possibili corrispondenze includono: Gennaro Esposito Davide Anselmi Qualsiasi nome diverso da Giovanna Bianchi. Il seguente filtro di ricerca: (&objectClass=acl)((sn=Di Giacomo) esegue query a tutte le voci dell'elenco di controllo dell'accesso che corrispondono al cognome Di Giacomo. Le possibili corrispondenze includono: Pietro Di Giacomo Salvatore Di Giacomo Il filtro di ricerca seguente: (o=univ*di*napol*) esegue query all'attributo della società. Le possibili corrispondenze includono: Università di Napoli Federico II Università di Napoli Istituto Navale
|
||||
![]() ![]() |
Installazione del client LDAPL'esecuzione del modulo LDAP di IBM HTTP Server richiede uno scaricamento distinto del client LDAP. E' possibile ottenere il client LDAP:
|
|||
![]() ![]() |
Per scaricare il client LDAP da un sito Web: |
|||
|
||||
![]() ![]() ![]() ![]() |
Non è necessario scaricare il client LDAP sui sistemi operativi AIX, HP, Linux e Solaris. |
|||
Configurazione di LDAP su IBM HTTP ServerPer configurare LDAP su IBM HTTP Server in modo da proteggere i file, seguire la procedura riportata di seguito.
LDAPRequire filter
"filtro_ricerca_ldap"
(Torna all'inizio) |