LDAP-Authentifizierung mit OPENLDAP

Vorgehensweise

1. Fügen Sie den OPENLDAP-Benutzer zum Netezza Performance Server hinzu.

   create user <user> password <password>

   Definieren Sie das Kennwort gemäß Ihrer Kennwortrichtlinie.
   Beispiel:

   create user <user> password <password>

2. Legen Sie den Authentifizierungstyp fest.
   • Setzen Sie die Authentifizierung auf OPENLDAP mit SSL/TLS OFF
     1. Führen Sie den Befehl aus.

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

        cn ist der allgemeine Name (Common Name).

        dc ist der allgemeine Name (Domain component).

     2. Die Datei sssd.conf sieht nun wie das folgende Beispiel aus.

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = rfc2307
        #ldap_group_name =
        #ldap_user_name =
        ignore_group_members = False
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = False
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://OPENLDAP_SERVER_FQDN_OR_IP:389
        ldap_user_search_base = dc=example,dc=com
        ldap_default_bind_dn = cn=oldap_admin_user1,cn=Users,dc=example,dc=com
        ldap_tls_reqcert = never
        #ldap_id_use_start_tls =
        #ldap_tls_cacert =
        
        ldap_default_authtok = AAAQAHyh0uE+spiukG6zQ89FjCZdgIqHaYvqz5ToDPwbIxy2/whEzpa0+OTycf5q4Ivni+cHJ1EMkRarmGo9Wwna5voAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

   • Setzen Sie die Authentifizierung auf OPENLDAP mit SSL ON

     Ein Zertifikat muss von einer anerkannten Zertifizierungsstelle an den OPENLDAP-Server ausgegeben werden. Beziehen Sie die CA-Zertifikatsdatei und speichern Sie sie an einem Ort auf dem Netezza Performance Server. Für die Hochverfügbarkeitssysteme (HA) Netezza Performance Server speichern Sie die Datei an einem Ort auf dem gemeinsamen Laufwerk, z. B. in einem neuen Verzeichnis unter /nz. Beide Netezza Performance Server müssen in der Lage sein, unter Verwendung desselben Pfadnamens auf die Zertifikatsdatei zuzugreifen. Normalerweise hat das CA-Zertifikat die Erweiterung .pem.

     1. Führen Sie den Befehl aus.

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com' CACERT '/nz/caCert/ca_cert.pem'; "