高效与安全----探索IBM i服务器上的LDAP身份验证

 轻量目录访问协议LDAP: Lightweight Directory Access Protocol）运行在TCP/IP之上，通过目录服务进行数据查询和修改，可以为目录方面的问题提供帮助。

 LDAP是一个开放的工业标准，它不断的发展以满足在目录中访问和更新信息的需求。因为互联网的目录访问方式，LDAP被广泛的接受，也因此成为企业内部网的策略。越来越多的软件供应商支持LDAP，它也被融入到越来越多的应用程序之中。

 

IBM i 目录服务器是IBM在i平台上基于LDAP协议的实现，从IBM i V5R1版本起，目录服务被集成为操作系统的基础部分，包含一个LDAP服务器，并完成配置LDAP客户端及实用程序的功能。

 LDAP服务器在作为Web服务器的用户身份验证和授权服务器时，经常与HTTP服务器一起来保护Web资源。HTTP服务器可以作为LDAP客户端，发送请求获得信息。相比其他身份验证方法，LDAP允许信息在多个客户端之间共享，并允许以平台无关的方式存储，有助于防止网络中信息的重复。

 

 本文旨在提供一个简单的方法，在IBM i上为HTTP服务器配置LDAP服务器的用户身份验证和授权（MingHui: 在IBM i上为HTTP服务器配置LDAP服务器的用户身份验证和授权）。主要使用到下列产品：
· IBM i系统导航器 (IBM Systems Director Navigator for i）
· Tivoli目录服务器Web管理工具 (Tivoli Directory Server Web Administration Tool）
· IBM i Web管理工具（IBM Web Administration for i）

 

本文将向您展示：
 如何使用IBM i系统导航器配置LDAP服务器
 如何使用Tivoli目录服务器Web管理工具管理LDAP服务器
 如何使用Tivoli目录服务器Web管理工具创建LDAP目录
 如何使用IBM i Web管理工具创建HTTP服务器
 如何使用IBM i Web管理工具配置访问受限的Web资源
 如何使用IBM i Web管理工具配置LDAP属性文件
 如何使用IBM i Web管理工具为HTTP服务器配置LDAP作为身份验证服务器

 图1给出了应用场景的示意图  

图 1 应用场景示意图

 

使用IBM i系统导航器配置LDAP服务器
IBM i目录服务器是在安装IBM i和SS1选项3时自动安装的产品。 目录服务器的配置方法，可参阅IBM i信息中心
启动IBM i目录服务器，需运行下列步骤：
 运行IBM i系统导航器（http://your_server:2001）
 展开左侧导航中的“IBM i Management”
 点击“Network”
 点击“TCP/IP Servers”
如图2所示，通过点击“IBM Tivoli Directory Server for i”旁边的相关按钮来启动服务器。当服务器被成功启动时，其状态会自动更改为“已启动”。 

  图 2 启动目录服务器

 

使用Tivoli目录服务器Web管理工具管理LDAP服务器
 IBM i目录服务器提供了一个简单易用的Web管理平台来管理服务器。通过点击如图3中所示的“Tivoli Directory Server Web Administration Tool”链接来启动该Web管理工具。 

图 3 Tivoli目录服务器Web管理工具

 

Tivoli目录服务器Web管理工具是一个非常有用的目录服务器Web管理平台，需要先安装才可以管理目录服务器，首次设置可参阅IBM i信息中心
Web管理平台可以管理一个或多个目录服务器，在本文的示例中仅管理一个目录服务器，如图4所示：  

图 4目录服务器管理

 

当你点击“Logout”时，将显示当前目录服务器的信息，如图5所示。点击“Login to console admin”将返回到Web管理工具的登录界面。 

图 5 目录服务器登陆页面

 

使用Tivoli目录服务器Web管理工具创建LDAP目录
  IBM i 可以帮助您在目录服务器上创建LDAP目录。本文创建了Suffix "o=ibm, c=us" 及cn=james和cn=pigm的两个用户项，如图6所示：

 图 6 创建用户项   

使用IBM i Web管理工具创建HTTP服务器
 IBM i Web管理工具提供了HTTP服务器的创建向导，快速的实现HTTP服务器的配置，如图7所示。更多详细信息，可参阅IBM i信息中心。本文的示例中，创建了一个名为PIGM的HTTP服务器。

 

使用IBM i Web管理工具配置访问受限的Web资源
 HTTP服务器使用目录为Web页面及其内容提供服务。IBM i Web管理工具提供了“Add a Directory”向导，来创建新的目录。更多关于HTTP服务器目录管理，请参阅IBM i信息中心
 如图8所示，我们创建了/www/pigm/protected目录来用于用户身份验证。

 

使用IBM i Web管理工具配置LDAP属性文件
IBM i Web管理工具提供了一个名为“LDAP Configuration File”的向导，可以指定新的配置文件路径，或者是包含HTTP服务器与LDAP服务器通信所需要的配置指令的已有文件。该文件路径必须与HTTP服务器配置LDAP服务器进行用户ID和密码验证，或在一个LDAP项中包含HTTP配置指令所需的文件路径相同。
使用LDAP配置文件向导，请运行以下步骤：
· 运行IBM i Web管理工具（http://your_server:2001/HTTPAdmin）。
· 点击“Manage”标签。
· 点击“HTTP Servers”子标签。
· 从“Server”列表中选择所需的HTTP服务器，本文的示例服务器为“PIGM”。
· 从“Server area”列表中选择所需的区域，本文选择“/www/pigm/protected”。
· 展开左侧导航中的“HTTP Task and Wizards”。
· 点击“LDAP Configure”。
· 指定已有配置文件的路径或者新文件路径。本文示例指定新的配置文件路径为“/home/pigm/ldap.prop”。
· 点击“下一步”。
· 点击页面中的“General Settings”标签。
· 输入LDAP服务器的主机名或者IP地址（支持IPv6）。
· 输入LDAP服务器监听的端口号。默认情况下，389为TCP/IP连接的非安全端口号，636为SSL端口号。
· 输入Search base DN（DN: Distinguished Name）。
· 输入LDAP object class。
· HTTP服务器如何通过LDAP服务器的身份验证方式选择“Basic authentication”。
· 输入服务器DN，HTTP服务器用其通过LDAP服务器的身份验证。
· 输入服务器密码，配置工具将对该密码进行加密，储存在隐藏文件中。
· 点击“应用”
图9显示了查看和更新上述指令的配置向导页面：

    图 9 LDAP配置文件设置

 

本文示例中生成的LDAP配置文件（/home/pigm/ldap.prop）内容如下：

************Beginning of data**************
LDAP.URL "ldap://< YourHostName >:389/o=ibm,c=us" LDAP.Appid QIBM_HTTP_CLIENT_PIGM LDAP.Application.DN cn=administration,o=ibm,c=us LDAP.Application.Password.StashFile
/QIBM/UserData/HTTPSVR/LDAP/
PIGM/12778845664099.stash LDAP.Group.MemberAttributes
"member uniquemember" LDAP.User.Name.FieldSep " \t,"
************End of Data********************  

 

使用IBM i Web管理工具为HTTP服务器配置LDAP作为身份验证服务器
 最后，设置HTTP服务器使用LDAP身份验证方法，需运行下列步骤：
· 运行IBM i Web管理工具
· 点击“Manage”标签。
· 点击“HTTP Servers”子标签。
· 从“Server”列表中选择所需的HTTP服务器，本文的示例服务器为“PIGM”。
· 从“Server area”列表中选择所需的区域，本文选择“/www/pigm/protected”。
· 展开左侧导航中的“Server Properties”。
· 点击“Security”。
· 点击页面中的“Authentication”标签。
· “User authentication method”项选择“User entries in a Directory”。
· 输入验证名或验证范围，验证范围会在登录时提示。
· 输入LDAP配置文件
· 简单起见，本文设置LDAP Group为空，如图10所示。
· 点击“OK”。
· 配置好身份验证之后，我们可以继续配置访问控制，同样简单起见，本文设置访问控制为默认值。 

  图 10 HTTP设置LDAP身份验证方法

 

通过IBM i Web管理工具可以查看HTTP服务器的配置文件，展开左侧导航中的“Tools”，点击“Display Configure File”。如下是本文HTTP配置文件的相关指令：
LoadModule ibm_ldap_module /QSYS.LIB/QHTTPSVR.LIB/QZSRVLDAP.SRVPGM
< Directory /www/pigm/protected >Order deny,allowAllow From allAuthType basicAuthName "Protected Directory Test"PasswdFile %%LDAP%%Require valid-userLDAPConfigFile /home/pigm/ldap.prop< /Directory > 

 

其中ibm_ldap_module模块定义了HTTP服务器与目录服务器通信所需的服务程序。其余指令定义如下：
AuthType :身份验证类型，本例为Basic。
AuthName :验证名或验证范围，将出现在弹出框中，用以确定请求验证的用户名和密码。
PaswdFile：指明使用LDAP验证用户。
Require：允许进入需满足的条件。Valid-user参数的意思指验证列表中的任何有效用户都具有访问权。
LDAPConfigFile : HTTP服务器与LDAP服务器通信所需的LDAP配置，是ibm_ldap_module模块定义的扩展指令。
到这里，我们已经完成了HTTP服务器的LDAP身份验证配置。重启HTTP服务器并登陆，此时将会弹出要求输入用户名和密码的对话框，通过输入LDAP服务器中定义的有效用户名，如PIGM,James等，将会成功进入，否则会登陆失败。

跨系统解决方案
 现在我们已经知道如何使用IBM i系统导航器及IBM i Web管理工具，快速的创建和配置HTTP服务器来使用LDAP作为身份验证服务器。还应该知道的一点是，HTTP与LDAP服务器不是必须在同一系统上，它们可以分布在不同地方，可以在系统A上创建HTTP服务器，而在系统B上部署LDAP服务器。不管怎样，你都会拥有一个非常高效、安全及符合标准的企业目录解决方案。