Autenticación LDAP mediante OPENLDAP

Procedimiento

1. Añada el usuario OPENLDAP a Netezza Performance Server.

   create user <user> password <password>

   Defina la contraseña de acuerdo con la política de contraseñas.
   Ejemplo:

   create user <user> password <password>

2. Establezca el tipo de autenticación.
   • Configure la autenticación en OPENLDAP con SSL/TLS desactivado
     1. Ejecute el mandato.

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

        cn es el Common Name.

        dc es el Domain component.

     2. Ahora el archivo sssd.conf tiene el siguiente aspecto.

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = rfc2307
        #ldap_group_name =
        #ldap_user_name =
        ignore_group_members = False
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = False
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://OPENLDAP_SERVER_FQDN_OR_IP:389
        ldap_user_search_base = dc=example,dc=com
        ldap_default_bind_dn = cn=oldap_admin_user1,cn=Users,dc=example,dc=com
        ldap_tls_reqcert = never
        #ldap_id_use_start_tls =
        #ldap_tls_cacert =
        
        ldap_default_authtok = AAAQAHyh0uE+spiukG6zQ89FjCZdgIqHaYvqz5ToDPwbIxy2/whEzpa0+OTycf5q4Ivni+cHJ1EMkRarmGo9Wwna5voAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

   • Establezca la autenticación en OPENLDAP con el SSL ON

     Una CA de confianza debe emitir un certificado al servidor OPENLDAP. Obtenga el archivo del certificado CA y guárdelo en una ubicación del sistema Netezza Performance Server. Para los sistemas Netezza Performance Server de alta disponibilidad (HA), guarde el archivo en una ubicación de la unidad compartida, como un nuevo directorio en /nz. Ambos nodos Netezza Performance Server deben poder acceder al archivo de certificado utilizando el mismo nombre de ruta. Normalmente, el certificado de CA tiene la extensión .pem.

     1. Ejecute el mandato.

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com' CACERT '/nz/caCert/ca_cert.pem'; "