LDAP-Authentifizierung mit OPENLDAP

create user <user> password <password>

nzsql -c "create user oldap_user1 password 'password';"

SET AUTHENTICATION LDAP

• Setzen Sie die Authentifizierung auf OPENLDAP mit SSL OFF
  1. Führen Sie den Befehl aus.

     nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

     Dabei bezieht sich cn auf den allgemeinen Namen (Common Name) und dc auf die Domänenkomponente.
  2. Aktualisieren Sie als Benutzer " root die Datei " /etc/sssd/sssd.conf auf dem Netezza Performance Server.
     Möglicherweise müssen Sie die fett gedruckten Zeilen manuell ändern, wenn sie nicht bereits gesetzt sind.

     [domain/external_ldap]
     
     ldap_tls_reqcert = never
     ldap_id_use_start_tls = False
     ldap_schema = rfc2307
     #ignore_group_members =
     auth_provider = ldap
     id_provider = ldap
     ldap_rfc2307_fallback_to_local_users = True
     ldap_referrals = False
     ldap_id_mapping = False
     override_homedir = /home/%u
     ldap_network_timeout = 3
     ldap_opt_timeout = 60
     cache_credentials = True
     ldap_user_search_base = dc=example,dc=com
     entry_cache_group_timeout = 0
     entry_cache_user_timeout = 0
     ldap_search_timeout = 30
     entry_cache_timeout = 600
     ldap_default_bind_dn = cn=oldap_user1,cn=Users,dc=example,dc=com
     ldap_uri = ldap://<OPENLDAP_SERVER_FQDN_OR_IP>:389
     #debug_level = 10
     case_sensitive = False
     
     ldap_default_authtok_type = obfuscated_password
     ldap_default_authtok = AAAQANEC2d5xigH0d4w9phf5F9zD4PvXWvxwz61LYsoQq5BM/M7WslokdqbS6CnOyTzGp4XmzCC7owRfYq8sALPYypoAAQID
     [sssd]
     services = nss, ifp, sudo, ssh, pam
     domains = external_ldap
     
     [nss]
     memcache_timeout = 600
     homedir_substring = /home
     
     [pam]
     #debug_level = 10
     
     [sudo]
     [autofs]
     [ssh]
     [pac]
     [ifp]
     

  3. Starten Sie als root-Benutzer den sssd-Service erneut.

     systemctl restart sssd

• Setzen Sie die Authentifizierung auf OPENLDAP mit SSL ON
  Ein Zertifikat wird von einer vertrauenswürdigen CA für den OPENLDAP-Server ausgestellt. Beziehen Sie die CA-Zertifikatsdatei und speichern Sie sie an einem Ort auf dem Netezza Performance Server. Für die Hochverfügbarkeitssysteme (HA) Netezza Performance Server speichern Sie die Datei an einem Ort auf dem gemeinsamen Laufwerk, z. B. in einem neuen Verzeichnis unter " /nz. Beide Netezza Performance Server müssen in der Lage sein, unter Verwendung desselben Pfadnamens auf die Zertifikatsdatei zuzugreifen. Normalerweise hat das CA-Zertifikat die Erweiterung " pem..

  1. Führen Sie den Befehl aus.

     nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

  2. Aktualisieren Sie als " root -Benutzer die " /etc/sssd/sssd.conf -Datei auf dem Netezza Performance Server manuell.

     Möglicherweise müssen Sie die fett gedruckten Zeilen manuell ändern, wenn sie nicht bereits gesetzt sind.

     1. Um sich mit dem OPENLDAP-Server über SSL zu verbinden, verwenden Sie diese Konfiguration.

                      ===========================/etc/sssd/sssd.conf=============================
        [domain/external_ldap]
        
        ldap_tls_reqcert = demand
        ldap_id_use_start_tls = False
        ldap_tls_cacert = /nz/caCert/ca_cert.pem
        ldap_schema = rfc2307
        #ignore_group_members =
        auth_provider = ldap
        id_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        ldap_id_mapping = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        ldap_user_search_base = dc=example,dc=com
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        entry_cache_timeout = 600
        ldap_default_bind_dn = cn=oldap_user1,cn=Users,dc=example,dc=com
        ldap_uri = ldaps://< OPENLDAP_SERVER_FQDN_OR_IP >:636
        #debug_level = 10
        case_sensitive = False
        
        ldap_default_authtok_type = obfuscated_password
        ldap_default_authtok = AAAQAEPSvINy7WB7Y5ULLHAgp9PNt9Ivdd5KZlp7DDzN7a+5wpRrq8dBoA4RonugOBXhxMA44TglOom7u4cqMBpFeoAAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]
        

     2. Um eine Verbindung zum OPENLDAP-Server über TLS herzustellen, verwenden Sie diese Konfiguration.

        ===========================/etc/sssd/sssd.conf=============================
        [domain/external_ldap]
        
        ldap_tls_reqcert = demand
        ldap_id_use_start_tls = True
        ldap_tls_cacert = /nz/caCert/ca_cert.pem
        ldap_schema = rfc2307
        #ignore_group_members =
        auth_provider = ldap
        id_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        ldap_id_mapping = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        ldap_user_search_base = dc=example,dc=com
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        entry_cache_timeout = 600
        ldap_default_bind_dn = cn=oldap_user1,cn=Users,dc=example,dc=com
        ldap_uri = ldap://< OPENLDAP_SERVER_FQDN_OR_IP>:389
        #debug_level = 10
        case_sensitive = False
        
        ldap_default_authtok_type = obfuscated_password
        ldap_default_authtok = AAAQAEPSvINy7WB7Y5ULLHAgp9PNt9Ivdd5KZlp7DDzN7a+5wpRrq8dBoA4RonugOBXhxMA44TglOom7u4cqMBpFeoAAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]
        

     Anmerkung: 1. Geben Sie für das Attribut ldap_tls_cacert von " sssd.conf den Dateinamen des CA-Zertifikats mit dem korrekten Verzeichnis an.

     2. Der OPENLDAP-Server, der im Befehl " SET AUTHENTICATION genannt wird, muss mit dem Hostnamen in der LDAP-Server-Zertifikatsdatei übereinstimmen.

  3. Starten Sie als root-Benutzer den sssd-Service erneut:

     systemctl restart sssd

create user <user> password <password>

create user <user> password <password>

• Setzen Sie die Authentifizierung auf OPENLDAP mit SSL/TLS OFF
  1. Führen Sie den Befehl aus.

     nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

     cn ist der allgemeine Name (Common Name).

     dc ist der allgemeine Name (Domain component).

  2. Die Datei " sssd.conf sieht nun wie im folgenden Beispiel aus.

     [domain/external_ldap]
     
     ###The below common parameters and values should not be changed
     
     ldap_default_authtok_type = obfuscated_password
     ldap_schema = rfc2307
     #ldap_group_name =
     #ldap_user_name =
     ignore_group_members = False
     auth_provider = ldap
     ldap_rfc2307_fallback_to_local_users = True
     ldap_referrals = False
     override_homedir = /home/%u
     ldap_network_timeout = 3
     ldap_opt_timeout = 60
     cache_credentials = True
     entry_cache_group_timeout = 0
     entry_cache_user_timeout = 0
     ldap_search_timeout = 30
     id_provider = ldap
     entry_cache_timeout = 600
     case_sensitive = False
     ldap_id_mapping = False
     #ldap_group_attribute =
     #debug_level = 10
     
     ###Supplied from Input
     
     ldap_uri = ldap://OPENLDAP_SERVER_FQDN_OR_IP:389
     ldap_user_search_base = dc=example,dc=com
     ldap_default_bind_dn = cn=oldap_admin_user1,cn=Users,dc=example,dc=com
     ldap_tls_reqcert = never
     #ldap_id_use_start_tls =
     #ldap_tls_cacert =
     
     ldap_default_authtok = AAAQAHyh0uE+spiukG6zQ89FjCZdgIqHaYvqz5ToDPwbIxy2/whEzpa0+OTycf5q4Ivni+cHJ1EMkRarmGo9Wwna5voAAQID
     [sssd]
     services = nss, ifp, sudo, ssh, pam
     domains = external_ldap
     
     [nss]
     memcache_timeout = 600
     homedir_substring = /home
     
     [pam]
     #debug_level = 10
     
     [sudo]
     [autofs]
     [ssh]
     [pac]
     [ifp]
     [secrets]

• Setzen Sie die Authentifizierung auf OPENLDAP mit SSL ON

  Ein Zertifikat muss von einer anerkannten Zertifizierungsstelle an den OPENLDAP-Server ausgegeben werden. Beziehen Sie die CA-Zertifikatsdatei und speichern Sie sie an einem Ort auf dem Netezza Performance Server. Für die Hochverfügbarkeitssysteme (HA) Netezza Performance Server speichern Sie die Datei an einem Ort auf dem gemeinsamen Laufwerk, z. B. in einem neuen Verzeichnis unter " /nz. Beide Netezza Performance Server müssen in der Lage sein, unter Verwendung desselben Pfadnamens auf die Zertifikatsdatei zuzugreifen. Normalerweise hat das CA-Zertifikat die Erweiterung " .pem.

  1. Führen Sie den Befehl aus.

     nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com' CACERT '/nz/caCert/ca_cert.pem'; "