IBM PureData System for Analytics, Version 7.1

SET AUTHENTICATION

Mit dem SET AUTHENTICATION-Befehl können Sie angeben, wie das System Benutzer authentifiziert, die sich an ihm anmelden.

Bei der Authentifizierung wird geprüft, ob der Benutzer bei der Anmeldung am System eine richtige und bekannte Kombination aus Benutzername und Kennwort angibt.

Für den Zugriff auf eine Datenbank muss der Benutzer auch durch eine CREATE USER-Anweisung definiert sein und Zugriffsrechte für eine bestimmte Datenbank haben. Weitere Informationen zum Konfigurieren und zur Verwendung der LDAP-Authentifizierung finden Sie in IBM Netezza Systemverwaltung.

Der SET AUTHENTICATION-Befehl wird wie folgt ausgeführt.
  • Wenn Sie die Authentifizierung von LOCAL in LDAP ändern, führt das System die folgenden Aktionen aus:
    • Es erstellt eine PAM-Datei (PAM - Pluggable Authentication Module) für die neuen Authentifizierungseinstellungen, /etc/pam.d/netezza_nps.
    • Es modifiziert die Datei /nz/data/pg_hba.conf und ändert die Autorisierung in LDAP. (Die Datei pg_hba.conf steuert die Clientauthentifizierung.)
    • Es kopiert die Datei /etc/ldap.conf nach /nz/data/config/ldap.conf.orig und aktualisiert dann die Datei /etc/ldap.conf für die Änderungen im Befehl.
  • Wenn Sie die Authentifizierung von LDAP in LOCAL ändern, führt das System die folgenden Aktionen aus:
    • Es ändert die LDAP-Konfigurationsdateien durch Kopieren von ldap.conf.orig in ldap.conf.
    • Es löscht die PAM-Datei /etc/pam.d/netezza_nps.
    • Es modifiziert die Datei /nz/data/pg_hba.conf und ändert die Autorisierung in MD5 (den Standardwert).
  • Wenn der Authentifizierungstyp LDAP ist, können Sie weitere oder nachfolgende SET AUTHENTICATION LDAP-Befehle absetzen, um die LDAP-Konfigurationsparameter zu aktualisieren. Das System ändert die LDAP-Konfigurationsdatei unter Verwendung der Optionen, die Sie im Befehl angeben. Der Befehl behält Einstellungen von vorherigen SET AUTHENTICATION-Befehlen nicht bei. Sie müssen beim Absetzen des Befehls alle benötigten Optionen angeben.
  • Das System aktualisiert den Katalog, um die von Ihnen ausgewählte Authentifizierungskonfiguration aufzuzeichnen. Das System speichert die von Ihnen eingegebenen Parameter in der Systemtabelle _t_systemdef. Die Systemtabelle _t_systemdef speichert Daten über ein Schema mit Tags und Werten. Das System speichert jede Option, die Sie mit dem SET AUTHENTICATION-Befehl definieren, in einer separaten Zeile in der Tabelle durch Verwenden eines vordefinierten Tags und des Optionswerts. Die Zeilen für die LDAP-Authentifizierung sind nachfolgend dargestellt.
    Tag 'AUTHENTICATION METHOD' value 'LDAP'
Tag 'AUTHMTHD LDAP BASE' value <für die Basiszeichenfolge eingegebener Wert>
Tag 'AUTHMTHD LDAP SERVER' value <Server>
Tag 'AUTHMTHD LDAP VERSION' value <Versionsnummer>
Tag 'AUTHMTHD LDAP BINDDN' value <Bindezeichenfolge, falls eingegeben, oder "NONE">
Tag 'AUTHMTHD LDAP BINDPW' value <Bindekennwort, falls eingegeben, oder "NONE">
Tag 'AUTHMTHD LDAP PORT' value <Port>
Tag 'AUTHMTHD LDAP SCOPE' value <eingegebener Wert — "SUB", "ONE" oder "BASE">
Tag 'AUTHMTHD LDAP SSL' value <eingegebener Wert — "ON" oder "OFF">
Tag 'AUTHMTHD LDAP ATTRNAME' value (Attributnamenzeichenfolge)
Tag 'AUTHMTHD LDAP NAMECASE' value (eingegebener Wert — "LOWERCASE" oder
"UPPERCASE")

    Wenn Sie LOCAL-Authentifizierung angeben, enthält die Tabelle nur eine Zeile mit dem Tag AUTHENTICATION METHOD und dem Wert local. Das folgende Beispiel zeigt eine Tabelle _t_systemdef für eine LDAP-Konfiguration.

  • Das System zeichnet Authentifizierungsänderungen in der Datei pg.log auf. Alle SET AUTHENTICATION- und SHOW AUTHENTICATION-Befehle werden in die Datei pg.log geschrieben. Wenn Sie die Option BINDPW verwenden, werden Kennwörter in der Datei pg.log maskiert.

Syntax

Syntax für die Einstellung der Authentifizierung.
SET AUTHENTICATION { LOCAL | LDAP [(<LDAP-Konfig>)] }
Dabei steht <LDAP-Konfig> für Folgendes:
BASE <Basiszeichenfolge> SERVER <Server> 
[ VERSION <Versionsnummer> ]
[ BINDDN { Bindezeichenfolge | NONE } ]
[ BINDPW { Bindekennwort | NONE } ]
[ PORT <Port> ]
[ SCOPE { SUB | ONE | BASE } ]
[ SSL { ON | OFF } ]
[ ATTRNAME <Attributnamenzeichenfolge>]
[ NAMECASE { LOWERCASE | UPPERCASE }]

Eingaben

Der SET AUTHENTICATION-Befehl akzeptiert folgende Eingaben:

Tabelle 1. Eingaben für SET AUTHENTICATION
Eingabe Beschreibung
Attributnamen-
zeichenfolge		 Das im LDAP-Server definierte Feld, das den Benutzernamen enthält. Dies ist normalerweise 'sAMAccountname' für Microsoft Active Directory, 'uid' für IBM® Tivoli Directory Server und 'cn' für OpenLDAP-Server. Der Standardwert ist 'cn'.
Basiszeichenfolge Der definierte Name (DN) im LDAP-Namensbereich, bei dem Benutzernamensuchen gestartet werden. Beispiel:
dc=example,dc=org
Bindekennwort Das zur <Bindezeichenfolge> für die Bindung an den LDAP-Server gehörige Kennwort.
Bindezeichenfolge Der definierte Name, der beim Binden an den LDAP-Server verwendet werden soll. Eine Bindezeichenfolge ist optional. Diese Klausel ist normalerweise nicht für anonyme LDAP-Suchen definiert.
LDAP Netezza verwendet einen LDAP-Server für die Authentifizierung.
LOCAL Netezza verwendet lokale Authentifizierung. Wenn ein Benutzer eine Verbindung zum Netezza-System herstellt, verwendet das System die Kombination aus Benutzername und Kennwort, die vom CREATE USER-Befehl für die Authentifizierung definiert ist.

Dieser Authentifizierungsmodus ist auch mit Releases vor Release 4.5 kompatibel.
LOWERCASE | UPPERCASE Gibt an, ob der LDAP-Server den Benutzernamen in Großbuchstaben oder in Kleinbuchstaben speichert.
SSL Der Standardwert ist "OFF". Wenn "ON" angegeben ist, wird SSL beim Herstellen des Kontakts mit dem LDAP-Server verwendet.
Port Die für die Herstellung einer Verbindung zum LDAP-Server zu verwendende Portnummer. Der Standardwert ist 389.
Bereich Der beim Durchsuchen der LDAP-Struktur zu verwendende Bereich.
Server Der Name oder die IP-Adresse des LDAP-Servers.
Versionsnummer Die zu verwendende Versionsnummer des LDAP-Protokolls. Der Standardwert ist 3.

Ausgaben

Der SET AUTHENTICATION-Befehl hat die folgenden Ausgaben:

Tabelle 2. Ausgaben von SET AUTHENTICATION
Ausgabe Beschreibung
SET AUTHENTICATION Der Befehl war erfolgreich.
ERROR: permission denied Sie haben nicht die erforderlichen Berechtigungen.

Berechtigungen

Sie müssen ein Administrator sein oder über die Berechtigung zur Systemverwaltung verfügen, um diesen Befehl absetzen zu können.

Verwendung

Es folgt ein Beispielbefehl für eine IBM Tivoli Directory Server-Verbindung:
SET AUTHENTICATION ldap base 'dc=netezza,dc=com' server
'ldapserver.netezza.com' port '389' version '3' binddn 'ldapreader'
scope 'base' ssl 'off' attrname 'uid' namecase 'lowercase';
Es folgt ein Beispielbefehl für eine OpenLDAP-Verbindung:
SET AUTHENTICATION ldap base 'dc=netezza,dc=com' server
'ldapserver.netezza.com' port '389' version '3' binddn 'ldapreader'
scope 'base' ssl 'off' attrname 'cn' namecase 'lowercase';
Es folgt ein Beispielbefehl für eine Microsoft Active Directory-Verbindung:
SET AUTHENTICATION ldap base 'dc=netezza,dc=com' server
'ldapserver.netezza.com' port '389' version '3' binddn 'ldapreader'
scope 'base' ssl 'off' attrname 'sAMAccountName' namecase 'lowercase';
Übergeordnetes Thema: Netezza SQL-Befehlsreferenz

Feedback | Copyright IBM Corporation 2014 | Letzte Aktualisierung: 2014-02-28