PAC-LDAP-Berechtigungsmodul verwenden

Das PAC-LDAP-Autorisierungsmodul erlaubt Caching Proxy bei Ausführung von Autorisierungs- und Authentifizierungsroutinen den Zugriff auf einen LDAP-Server (Lightweight Directory Access Protocol).

Übersicht

Das Modul besteht aus zwei Komponentengruppen: einem Paar gemeinsam genutzter Bibliotheken, die LDAP-Funktionalität zur API Caching Proxy hinzufügen, und einem PAC-Dämon (Policy Authentication Control). Eine Anweisung ServerInit in der Datei ibmproxy.conf weist die gemeinsam genutzte Bibliothek an, einen oder mehrere PAC-Dämonprozesse zu starten, wenn Caching Proxy gestartet wird. Die gemeinsam genutzten Bibliotheken lesen die Datei paccp.conf, um die Anzahl und Merkmale der PAC-Dämonprozesse zu bestimmen. Während der Initialisierung liest der Dämon die Konfigurationsanweisungen in der Datei pac.conf und die Policy-Informationen in der Datei pacpolicy.conf. Anschließend weist entweder eine Authentication-Anweisung in der Datei ibmproxy.conf den Proxy-Server an, die gemeinsam genutzte Bibliothek jedesmal aufzurufen, wenn eine Authentifizierung erforderlich ist, oder eine Authorization-Anweisung kontrolliert während Verarbeitung von Standard-HTTP-Anforderungen den Arbeitsablauf in Caching Proxy.

Authentifizierung

Bei der Authentifizierung wird ermittelt, ob die übergebenen Berechtigungsnachweise (Benutzername und Kennwort) gültig sind. Es wird geprüft, ob ein Benutzer in der Registrierungsdatenbank enthalten ist und ob das angegebene Kennwort mit dem in der Registrierungsdatenbank gespeicherten Kennwort übereinstimmt. Diese Aktionen werden ausgeführt, wenn das Modul PAC-LDAP während der Authentifizierung verwendet wird.

Wenn das PAC-LDAP-Berechtigungsmodul für die Authentifizierung aktiviert ist, wird es zum Standardrepository, aus dem Benutzer-IDs, Kennwörter und Gruppen abgerufen werden. Wenn eine HTTP-Anforderung den Caching-Proxy-Arbeitsablauf durchläuft, vergleicht jede Protect-Anweisung den angeforderten URL mit ihrer Anforderungsschablone. Bei Übereinstimmung ruft die Protect-Anweisung ein Zugriffsschutzschema auf, das die Server-ID, die Art der zu verwendenden Authentifizierung, die Maskierungsregeln, die auf den Anforderungsclient angewendet werden sollen, sowie die Positionen der Kennwörter und Gruppendateien umfasst. Wenn die Kennwortdatei nicht definiert ist, werden die Benutzer-ID und das Kennwort mithilfe des PAC-LDAP-Berechtigungsmodulsabgerufen. Die Policys des Typs 0, 1, 2 und 3 definieren Authentifizierungsschemata. Bei erfolgreicher Authentifizierung wird die Anforderung bearbeitet. Andernfalls gibt Caching Proxy den Fehler 401 an den Client zurück.

Berechtigung

Bei der Autorisierung wird ermittelt, ob ein Benutzer die erforderliche Berechtigung für den Zugriff auf eine geschützte Ressource besitzt. Wenn das Modul PAC-LDAP verwendet wird, werden während dieses Prozesses Autorisierungsregeln angewendet, die in der Datei pacpolicy.conf für die HTTP-Anforderung enthalten sind.

Wenn das PAC-LDAP-Autorisierungsmodul für die Autorisierung aktiviert ist, werden Autorisierungsregeln in der Datei pacpolicy.conf auf HTTP angewendet. Wenn die HTTP-Anforderung den Caching-Proxy-Arbeitsablauf durchläuft, vergleicht jede Protect-Anweisung den angeforderten URL mit ihrer Anforderungsschablone. Bei Übereinstimmung ruft die Protect-Anweisung ein Zugriffsschutzschema auf. In diesem Fall ist das Zugriffsschutzschema die Berechtigungsroutine, die vom PAC-LDAP-Berechtigungsmodulverwendet wird. Die Autorisierungsdirektive vergleicht die angeforderte URL mit ihrer Anforderungsvorlage und wenn eine Übereinstimmung vorliegt, wird das PAC-LDAP-Autorisierungsmodul gestartet. Richtlinien vom Typ 4, die in der Datei pacpolicy.conf definiert sind, grenzen die Authentifizierung weiter ein, die für verschiedene URL-Anforderungen erforderlich ist.

Lightweight Directory Access Protocol (LDAP)

LDAP erlaubt den interaktiven Zugriff auf X.500-Verzeichnisse bei minimalem Verbrauch von Systemressourcen. IANA ordnet LDAP den TCP-Port 389 und den UDP-Port 389 zu. Weitere Informationen zu LDAP finden Sie unter RFC 1777.

Beispiele für unterstützte LDAP-Clients sind der IBM® Tivoli ® -LDAP-Client und der IBM SecureWay -LDAP-Client.

Installation

Alle Komponenten des PAC-LDAP-Berechtigungsmoduls werden automatisch installiert, wenn das Caching Proxy -System von WebSphere® Application Server installiert wird. Auf Linux® -und UNIX-Systemen werden im Verzeichnis /opt/ibm/edge/cp/ein Verzeichnis Caching Proxy library /lib , ein Verzeichnis PAC-LDAP authorization module library /lib/plugins/pac/ , ein binäres Verzeichnis /bin und ein Konfigurationsverzeichnis /etc erstellt. Anschließend werden von den Verzeichnissen /usr/lib/, /usr/sbin/ und /etc aus symbolische Verbindungen zu diesen produktspezifischen Verzeichnissen erstellt.

Tabelle 1. Verzeichnisstruktur. Verzeichnis nach Betriebssystem.
Linux -und UNIX-Verzeichnis Windows-Verzeichnis Inhalt
/opt/ibm/edge/cp C:\Programme\IBM\edge\cachingproxy\cp Basisverzeichnis für Caching Proxy cp_root
cp_root/sbin C:\Programme\IBM\edge\cachingproxy\cp\Bin\ Binärdateien und Scripts für Caching Proxy
/usr/sbin/   Symbolische Verbindungen zu cp_root/sbin/
cp_root/etc/ C:\Programme\IBM\edge\cachingproxy\cp\etc\ Konfigurationsdateien für Caching Proxy
/etc/   Symbolische Verbindungen zu cp_root/etc/
cp_root/lib/ C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\ Caching Proxy -Bibliotheken
cp_root/lib/ plugins/pac/ C:\Programme\IBM\edge\cachingproxy\cp\lib\plugins\pac\ Bibliotheken für das PAC-LDAP-Berechtigungsmodul
/usr/lib/   Symbolische Verbindungen zu cp_root/lib/ and cp_root/lib/ plugins/pac/
cp_root/server_root/pac/data/ C:\Programme\IBM\edge\cachingproxy \cp\server_root\pac\data\ Datenspeicher PAC-LDAP-Berechtigungsmodul
cp_root/server_root/ pac/creds/ C:\Programme \IBM\edge\cachingproxy \cp\server_root\pac\creds\ Berechtigungsnachweise für PAC-LDAP-Berechtigungsmodul
Tabelle 2. LDAP-Plug-in-Dateien. LDAP-Plug-in-Dateien nach Betriebssystem
Linux -und UNIX-Dateiname Name der Windows-Datei Beschreibung
libpacwte.so pacwte.dll gemeinsam genutzte Bibliothek
libpacman.so pacman.dll gemeinsam genutzte Bibliothek
pacd_restart.sh pacd_restart.bat Script für Neustart des PAC-Dämons
paccp.conf, pac.conf, pacpolicy.conf paccp.conf, pac.conf, pacpolicy.conf Konfigurations- und Policy-Dateien

Weitere Voraussetzungen und Einschränkungen für sichere PACD-LDAP-Serververbindungen

IBM Global Security Kit (GSKit) ist für das LDAP-Clientpaket erforderlich

Um SSL-Verbindungen (Secure Sockets Layer) zwischen dem PACD-Dämon und dem LDAP-Server zu aktivieren, müssen Sie das Paket IBM Global Security Kit (GSKit) installieren, das für das LDAP-Clientpaket erforderlich ist. GSKit 7 ist die erforderliche Version und wird standardmäßig auf der Caching-Proxy-Maschine bereitgestellt. Möglicherweise ist diese jedoch nicht die Version, die der LDAP-Client auf der Maschine voraussetzt. Es ist möglich, verschiedene GSKit-Versionen für verschiedene Prozesse auf einer Maschine zu verwenden.

Speichern Sie die Schlüsseldatei IBM Global Security Kit (GSKit) in $pacd_creds_dir/pac_keyring.kdb und das Kennwort in $pacd_creds_dir/pac_keyring.pwd.

Definition der Umgebungsvariablen LD_PRELOAD für Linux-Systeme

Auf Linux-Systemen muss die Umgebungsvariable LD_PRELOAD wie folgt konfiguriert werden, damit SSL-Verbindungen zwischen dem PACD-Dämon und dem LDAP-Server hergestellt werden können. Setzen Sie die Variable auf den folgenden Wert:
LD_PRELOAD=/usr/lib/libstdc++-libc6.1-1.so.2

Die IBM Global Security Kit (GSKit) -Anforderung, auf die zuvor in diesem Abschnitt verwiesen wurde, gilt auch für Linux -Systeme.

Auf Linux -Systemen kann der PACD-Prozess nicht gestartet werden, wenn IBM Tivoli Directory Server (ITDS) 6.0 LDAP-Client verwendet wird

Auf Red Hat Enterprise Linux 4.0 -Systemen wird der PACD-Prozess nicht gestartet, wenn Caching Proxy für die Verwendung des LDAP-Plug-ins Tivoli Directory Server 6.0 für die Authentifizierung konfiguriert ist. Die folgende Fehlernachricht wird angezeigt:
"error while loading shared libraries: 
/usr/lib/libldapiconv.so: R_PPC_REL24 relocation at 0x0fb58ad0 
for symbol 'strpbrk' out of range"
Es gibt eine aktuelle Einschränkung, dass Tivoli Directory Server 6.0 RHEL 4.0 -Systeme nicht unterstützt.

Auf AIX -Systemen kann das PAC-LDAP-Modul nicht geladen werden, wenn der IBM Tivoli Directory Server (ITDS) LDAP-Client verwendet wird.

Der PACD-Prozess wird auf AIX® -Systemen aufgrund unaufgelöster Links bei Verwendung des Tivoli Directory Server -LDAP-Clients nicht gestartet. Beim Starten des PACD-Prozesses kann die folgende Fehlernachricht angezeigt werden:
exec(): 0509-036 Cannot load program /usr/sbin/pacd 
because of the following errors: 
0509-022 Cannot load module /usr/lib/libpacman.a.
0509-150 Dependent module libldap.a could not be loaded.
0509-022 Cannot load module libldap.a.
Um dieses Problem für Tivoli Directory Server Version 5 des LDAP-Clients zu umgehen, erstellen Sie den folgenden symbolischen Namen:
ln -s /usr/lib/libibmldap.a /usr/lib/libldap.a
Um dieses Problem für Tivoli Directory Server Version 6 des LDAP-Clients zu umgehen, erstellen Sie den folgenden symbolischen Namen:
ln -s /opt/IBM/ldap/V6.0/lib/libibmldap.a /usr/lib/libldap.a

Bearbeiten der Datei ibmproxy.conf zum Aktivieren des PAC-LDAP-Berechtigungsmoduls

Drei Richtlinien, ServerInit, Autorisierung oder Authentifizierung und ServerTerm muss dem Abschnitt API-Direktiven des ibmproxy.conf Datei zum Initialisieren der PAC-LDAP-Autorisierungsmodul. Um diese Anweisungen zu erstellen, müssen Sie entweder die Datei ibmproxy.conf manuell bearbeiten oder, wenn der Proxy-Server bereits aktiv ist, mit einem Internet-Browser eine Verbindung zu den Konfigurations-und Verwaltungsformularen herstellen und das Formular für die API-Anforderungsverarbeitung öffnen (klicken Sie auf Serverkonfiguration -> Anforderungsverarbeitung -> API-Anforderungsverarbeitung). Jede Anweisung in der Konfigurationsdatei des Proxy-Servers muss in einer gesonderten Zeile stehen, auch wenn die hier aufgeführten Beispiele aus Gründen der besseren Lesbarkeit Zeilenumbrüche enthalten.

Beachten Sie die Prototypanweisungen (in Form von Kommentaren) im API-Abschnitt der Datei "ibmproxy.conf". Diese API-Anweisungen sind in einer zweckmäßigen Reihenfolge angeordnet. Wenn Sie API-Anweisungen hinzufügen, um neue Funktionen und Plug-in-Module zu aktivieren, sollten Sie die Anweisungen wie im Prototypabschnitt der Konfigurationsdatei gezeigt anordnen. Alternativ dazu können Sie, falls erforderlich, die Kommentarzeichen für API-Anweisungen entfernen und API-Anweisungen editieren, um die Unterstützung für jede gewünschte Funktion oder jedes gewünschte Plug-in hinzuzufügen.

Die Anweisung ServerInit unterstützt drei Argumente: (1) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek, (2) den Funktionsaufruf und (3) den vollständig qualifizierten Pfad der Datei paccp.conf. Das erste und zweite Argument werden durch einen Doppelpunkt (:) begrenzt. Das zweite und dritte Argument werden durch ein Leerzeichen begrenzt. Das erste Argument und das dritte Argument sind systemspezifisch und abhängig davon, wo die Plug-in-Komponenten installiert sind. Das zweite Argument ist in der gemeinsam benutzten Bibliothek fest codiert und muss wie angezeigt eingegeben werden. Beim Erstellen einer Anweisung ServerInit im Formular "Verarbeitung von API-Anforderungen" müssen das zweite und dritte Argument im Feld Funktionsname eingegeben werden. Das dritte Argument wird in der Spalte IP-Schablone angezeigt.

Die Anweisung Authorization unterstützt drei Argumente: (1) eine Anforderungsschablone, (2) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek und (3) den Funktionsnamen. Die HTTP-Anforderungen werden mit der Anforderungsschablone verglichen, um zu bestimmen, ob eine Anwendungsfunktion aufgerufen werden muss. Die Anforderungsschablone kann ein Protokoll, eine Domäne und einen Host enthalten. Sie darf als vorangestelltes Zeichen einen Schrägstrich (/) und als Platzhalterzeichen einen Stern (*) verwenden. Beispielsweise sind folgende Schablonen gültig: /front_page.html , http://www.ics.raleigh.ibm.com , /pub*, /* und *. Der Funktionsname ist der Name, den Sie Ihrer Anwendungsfunktion im Programm zugewiesen haben. Dieser Name ist fest codiert und muss wie gezeigt eingegeben werden. Die ersten zwei Argumente werden durch ein Leerzeichen getrennt. Die letzten beiden Argumente werden durch einen Doppelpunkt (:) getrennt.

Die Anweisung Authentication unterstützt zwei Argumente: (1) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek und (2) den Funktionsnamen. Diese Argumente werden durch einen Doppelpunkt (:) begrenzt. Das erste Argument ist systemspezifisch und hängt davon ab, wo die gemeinsam genutzte Bibliothek installiert ist. Die URL-Schablone für das erste Argument muss mit dem Dokumentstammverzeichnis (/) beginnen, wenn Caching Proxy als Reverse Proxy verwendet wird. Das zweite Argument ist in der gemeinsam benutzten Bibliothek fest codiert und muss wie angezeigt eingegeben werden.

Die Anweisung ServerTerm unterstützt zwei Argumente: (1) den vollständig qualifizierten Pfad der gemeinsam genutzten Bibliothek und (2) den Funktionsnamen. Diese Argumente werden durch einen Doppelpunkt (:) begrenzt. Das erste Argument ist systemspezifisch und hängt davon ab, wo die gemeinsam genutzte Bibliothek installiert ist. Das zweite Argument ist in der gemeinsam benutzten Bibliothek fest codiert und muss wie angezeigt eingegeben werden. Diese Anweisung beendet den PAC-Dämon, wenn der Proxy-Server heruntergefahren wird. Wenn sich der Eigner des Dämons vom Eigner des Proxy-Serversunterscheidet, kann der Proxy-Server den Dämon möglicherweise nicht stoppen. In diesem Fall muss ein Administrator den Dämon manuell stoppen.

ServerInit path_of_shared_library:pacwte_auth_init path_of_conf_policy_file
Beispiel für Linux und UNIX:
ServerInit /usr/lib/libpacwte.so:pacwte_auth_init /etc/pac.conf
Beispiel für Windows:
ServerInit C:\Program Files\IBM\edge\cachingproxy\cp\lib\plugins\
  pac\pacwte.dll:pacwte_auth_init C:\Progra ~1\IBM\edge\cp
Authorization request-template path_of_shared_library:pacwte_auth_policy
Beispiel für Linux und UNIX:
Authorization http://* /usr/lib/libpacwte.so:pacwte_auth_policy
Beispiel für Windows:
Authorization http://* C:\Program Files\IBM\edge\cachingproxy\cp\lib\plugins\
  pac\pacwte.dll:pacwte_auth_policy
Authentication BASIC path_of_shared_library:pacwte_auth_policy
Beispiel für Linux und UNIX:
Authentication BASIC /usr/lib/plugins/pac/libpacwte.so:pacwte_auth_policy
Beispiel für Windows:
Authentication BASIC C:\Program Files\IBM\edge\cachingproxy\cp\lib\plugins\
  pac\pacwte.dll:pacwte_auth_policy
ServerTerm path_of_shared_library:pacwte_shutdown
Beispiel für Linux und UNIX:
ServerTerm /usr/lib/libpacwte.so:pacwte_shutdown
Beispiel für Windows:
ServerTerm BASIC C:\Program Files\IBM\edge\cachingproxy\cp\lib\plugins\
  pac\bin\pacwte.dll:pacwte_shutdown

Konfigurationsdateien für PAC-LDAP-Berechtigungsmodul bearbeiten

Die Konfigurations-und Richtliniendateien für das PAC-LDAP-Berechtigungsmodul müssen manuell mit einem Texteditor bearbeitet werden. Ein Anweisungsname wird vom ersten Argument durch einen Doppelpunkt (:) getrennt. Mehrere Argumente werden durch Kommas (,) begrenzt. Die Konfigurations-und Richtliniendatei enthält Anmerkungen, die Sie bei der Bearbeitung unterstützen. Wichtige "policy"-Anweisungen sind unten aufgeführt:

paccp.conf

Die Datei paccp.conf wird von den gemeinsam genutzten Bibliotheken während der Initialisierung von Caching Proxy gelesen und enthält die Definitionen (Zeilengruppe[PAC_MAN_SERVER] ) jedes PAC-Dämons, der gestartet wird. Für jeden PAC-Dämon muss eine eigene Zeilengruppe [PAC_MAN_SERVER] vorhanden sein.

[PAC_MAN_SERVER]
hostname:                    # name of PAC daemon
port:                        # port pacd is listening on

[PACWTE_PLUGIN]
hostname_check:[true|false]  # enables DNS lookup. Must have
                             # DNS lookup turned on for ibmproxy to work.

pac.conf

Die Datei pac.conf gibt den LDAP-Server an, zu dem der PAC-Dämon versucht, eine Verbindung herzustellen.

[PAC_MAN_SERVER]
hostname:                    # name of PAC daemon
port:                        # port pacd is listening on
conn_type:ssl                # comment out if you do not use SSL
authentication_sequence: [primary|secondary|none]
authorization_sequence:  [primary|secondary|none]

[LDAP_SERVER]
hostname:                    # LDAP Server hostname
port:389                     # Port LDAP is listening on
ssl_port:636                 # SSL port used by the LDAP server
admin_dn:                    # User with permission to access the LDAP server
                             # specify admin_dn:NULL to enable anonymous binding
search_base:                 # Portion of LDAP tree to search for policy info
                             # If not required, specify search_base:NULL
search_key:                  # ID field to search

[CACHE]
cred_cache_enabled [TRUE|FALSE] # turn credentials cache on
cred_cache_min_size:100      # minimum number of credentials to cache in pacd
cred_cache_max_size:64000    # maximum number of credentials to cache in pacd
cred_cache_expiration:86400  # when a credential expires
policy_cache_enabled:[TRUE|FALSE] # turns policy cache on/off
policy_cache_min_size:100    # min. number of policy related items to cache
policy_cache_max_size:64000  # max. number of policy related items to cache
policy_cache_expiration:86400 # when a policy related item expires

pacpolicy.conf

Jede LDAP-Richtlinie (Policy) verwendet die folgende Schablone in der Konfigurations- und Richtliniendatei. Jede Richtlinie muss mit dem Schlüsselwort POLICY beginnen, das in Großbuchstaben geschrieben und in eckige Klammern eingeschlossen werden muss.
[POLICY]
default_policy:[grant|deny]  # describes the default policy for users
                             # that are not described in the POLICY section
pac_client_hotname:          # the instances of Caching Proxy that are allowed
                             # to use a policy list
id:                          # the id for the LDAP entry or ip/hostname
                             # (wildcard supported, such as *.ibm.com)
grant:[true|false]           # true means to grant access, false means
                             # to deny access
type:[0|1|2|3|4]             # 0 LDAP entry that is a group,
                             # 1 LDAP entry that is not a group,
                             # 2 IP address
                             # 3 hostname
                             # 4 URL
propagate:[true|false]       # true means that the access rights (grant
                             # or deny) will be propagated to all
                             # descendants or members
stop_entry:[entry|NULL]      # Propagation of the access right stops
                             # at this entry. If the id is a group,
                             # stop_entry must be set to NULL.
                             # stop_entry may be applied to an IP
                             # address or hostname. Each stop_entry
                             # must be on its own line
exception_entry:[entry|NULL] # Assignment of the access right skips
                             # these entries, but continues through their
                             # subtrees. This may be a list of entries.
                             # exception_entry may be applied to a group,
                             # IP address, or hostname. Each
                             # exception_entry must be on its own line.
Exception_type:
Exception:

Platzhalterzeichen (*) werden nur für den letzten Teil einer IP-Adresse oder für den ersten Teil eines Hostnamens in den Anweisungen id und stop_entry akzeptiert. Für Anweisungen vom Typ exception_entry werden keine Platzhalterzeichen unterstützt. Für alle Felder in LDAP-Einträgen werden ebenfalls keine Platzhalterzeichen unterstützt.

Die Angabe mehrerer Richtlinienanweisungen wird unterstützt, wobei in den Fällen, in denen Richtlinienanweisungen in Konflikt miteinander stehen, der Wert "false" immer Priorität hat, d. h., eine einzige Verweigerung in einer beliebigen Richtlinie blockiert den Zugriff. Die Reihenfolge, in der die "policy"-Anweisungen in der Konfigurations- und Richtliniendatei aufgelistet sind, ist nicht relevant und stellt keine Priorität her.

Eine Reihe von Beispielen für Richtlinien finden Sie in der Datei pacpolicy.conf im Verzeichnis mit den Konfigurationsdateien.

Hinweis: Verschachtelte Gruppen übernehmen keine Richtlinien von übergeordneten Gruppen. Nur Richtlinien, für die die Gruppe als explizites Member definiert ist, werden auf eine Gruppe angewendet.

pac_ldap.cred erstellen

Erstellen Sie eine Textdatei mit dem Namen pac_ldap.cred in / cp_root /server_root/pac/creds. Diese Datei enthält das Kennwort für den Benutzernamen, der mit der Anweisung admin_dn in der Datei pac.conf angegeben wurde.
Anmerkung: Um die anonyme Bindung zu aktivieren, ändern Sie die Anweisung "admin_dn" in pac.conf in "admin_dn: NULL" und fügen Sie eine Pseudozeichenfolge in die Datei pac_ldap.cred ein.

Der PAC-Dämon verschlüsselt das Kennwort, wenn er die Datei zum ersten Mal liest.

Geben Sie zum Erstellen der Datei pac_ldap.cred auf Linux -und UNIX-Plattformen die folgenden Befehle aus:

cd cp_root/server_root/pac/creds
echo "password" > pac_ldap.cred
chown nobody pac_ldap.cred
chgrp nobody pac_ldap.cred

(On SUSE Linux, use chgrp nogroup pac_ldap.cred.)

Um die Datei auf einer Windows-Plattform zu erstellen, geben Sie das Kennwort in einer Textdatei ein und speichern Sie die Datei im Verzeichnis server_root\pac\creds\ .

pacd starten und stoppen

Der LDAP-Berechtigungsdämon wird als pacd-Prozess ausgeführt. Sie können den LDAP-Berechtigungsdämon mit den bereitgestellten Scripts erneut starten, ohne Caching Proxy zu unterbrechen. Führen Sie das Script pacd wie folgt aus:
  • Auf Linux- und UNIX-Plattformen:
    /usr/sbin/pacd_restart.sh pacd_user_id
  • Auf Windows-Plattformen:
    C:\Program Files\IBM\edge\cachingproxy\cp\Bin\pacd_restart.bat CP_install_root
Anmerkung: Es ist möglich, dass der Pacd-Prozess nach dem Herunterfahren des Caching-Proxy-Servers weiterhin ausgeführt wird, indem der Befehl stopsrc -ibmproxy auf AIX -Systemen oder der Befehl ibmproxy -stop auf HP-UX-, Linux -und Solaris-Systemen verwendet wird. Der Prozess pacd kann mit dem Befehl kill wie folgt sicher beendet werden:
kill -15 pacd_process_ID
Unter HP-UX: Möglicherweise laden das Plug-in PAC-LDAP und pacd zur Laufzeit nicht alle abhängigen gemeinsam genutzten Bibliotheken. Prüfen Sie daher vor ihrer Verwendung, ob die Systemvariablen wie folgt festgelegt sind:
SHLIB_PATH=/usr/lib:/usr/IBMldap/lib
PATH=/usr/IBMldap/bin:$PATH
PATH=/usr/IBMldap/bin
/usr/IBMldap/ ist der Standardinstallationspfad für den LDAP-Client unter HP-UX. Ändern Sie die Angaben für PATH und SHLIB_PATH entsprechend ab, falls der LDAP-Client in einem anderen Verzeichnis installiert ist. Falls diese Variablen nicht festgelegt werden, können folgende Fehler auftreten:
  • Nachdem das Plug-in PAC-LDAP aktiviert wurde, wird die folgende Fehlernachricht in das Fehlerprotokoll geschrieben:
    "Serverinit Error: server did not load functions
 from DLL module /opt/ibm/edge/cp/lib/plugins/pac/libpacwte.sl"
  • Beim Versuch, /usr/sbin/pacd zu starten, wird der folgende Verknüpfungsfehler angezeigt:
    "/usr/lib/dld.sl: Can't find path for shared library: libibmldap.sl
 /usr/lib/dld.sl: No such file or directory
 Abort"
Unter Linux: Für SUSE Linux Enterprise Server 9 kann der Befehl ldd pacd melden, dass die Datei libldap.so nicht gefunden wurde. Sie können dieses Problem umgehen, indem Sie die folgende symbolische Verbindung erstellen:
ln -s /usr/lib/libldap.so.19  /usr/lib/libldap.so
AIX: Beim Starten von pacd mit IBM Tivoli Directory Server 5.2kann das PAC-LDAP-Modul möglicherweise nicht geladen werden, was zu folgendem Fehler führt:
exec(): 0509-036 Cannot load program /usr/sbin/pacd because of the following errors: 
        0509-022 Cannot load module /usr/lib/libpacman.a. 
        0509-150 Dependent module libldap.a could not be loaded. 
        0509-022 Cannot load module libldap.a.
Sie können dieses Problem umgehen, indem Sie die folgende symbolische Verbindung erstellen:
ln -s /usr/lib/libibmldap.a /usr/lib/libldap.a
Anmerkung: Nachdem Caching Proxy für die Verwendung der LDAP-Authentifizierung konfiguriert wurde, wird der folgende Fehler angezeigt:
Could not extract a value for: Uid, return code:3
Dieser Fehler wird auch angezeigt, wenn die LDAP-Authentifizierung ordnungsgemäß funktioniert, und kann deshalb ignoriert werden.