Authentification LDAP à l'aide de Windows Active Directory

Apprenez à configurer SSL ou TLS pour l'authentification LDAP en utilisant Windows Active Directory.

Procédure

Ajouter les utilisateurs Windows Active Directory à la base de données.
```
create user <user> password <password>
```
Définissez le mot de passe conformément à votre politique en matière de mot de passe.
Exemple :
```
nzsql -c "create user ad_user1 password 'password';"
```

Définir le type d'authentification :

Régler l'authentification sur AD avec SSL/TLS OFF

Exécutez la commande.

nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=nzdevelopment,dc=com' NAMECASE lowercase SERVER 'AD_SERVER' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com' ATTRNAME 'sAMAccountName';"

Le fichier sssd.conf se présente désormais comme suit.

[domain/external_ldap]

###The below common parameters and values should not be changed

ldap_default_authtok_type = obfuscated_password
ldap_schema = AD
ldap_group_name = CN
ldap_user_name = sAMAccountName
ignore_group_members = True
auth_provider = ldap
ldap_rfc2307_fallback_to_local_users = True
ldap_referrals = False
override_homedir = /home/%u
ldap_network_timeout = 3
ldap_opt_timeout = 60
cache_credentials = True
entry_cache_group_timeout = 0
entry_cache_user_timeout = 0
ldap_search_timeout = 30
id_provider = ldap
entry_cache_timeout = 600
case_sensitive = False
ldap_id_mapping = True
#ldap_group_attribute =
#debug_level = 10

###Supplied from Input

ldap_uri = ldap://AD_SERVER:389
ldap_user_search_base = dc=nzdevelopment,dc=com
ldap_default_bind_dn = cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com
ldap_tls_reqcert = never
#ldap_id_use_start_tls =
#ldap_tls_cacert =

ldap_default_authtok = AAAQAA5gKJVg+dHVdi2LU9uTepJAJRYtMh1mlO8vp4ysVuFjw5OrxTeY4MteantA1+FLTm2+XGmtdokCsiZAfGExIlsAAQID
[sssd]
services = nss, ifp, sudo, ssh, pam
domains = external_ldap

[nss]
memcache_timeout = 600
homedir_substring = /home

[pam]
#debug_level = 10

[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]

Si vous avez de nombreux groupes et/ou utilisateurs sur le serveur AD, vous pouvez améliorer les performances de connexion en ajoutant ldap_group_member = uniqueMember au fichier sssd.conf.

1. Ajouter ldap_group_member = uniqueMember à la section [domain/external_ldap] dans /etc/sssd/sssd.conf.

ignore_group_members = True (add only if not present since this variable was already exist)
ldap_group_member = uniqueMember

2. Redémarrez le service sssd.

systemctl stop sssd ; rm -f /var/lib/sss/db/* ; systemctl start sssd

3. Vérifier l'authentification.

Régler l'authentification sur AD avec SSL ON

Un certificat doit être délivré au serveur AD par une autorité de certification de confiance. Obtenez le fichier du certificat CA et enregistrez-le à un endroit du système Netezza Performance Server. Pour les systèmes Netezza Performance Server à haute disponibilité (HA), enregistrez le fichier dans un emplacement sur le disque partagé, tel qu'un nouveau répertoire sous /nz. Les deux nœuds du système Netezza Performance Server doivent pouvoir accéder au fichier de certificat en utilisant le même nom de chemin.

Activer l'authentification AD avec SSL.

nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=nzdevelopment,dc=com' NAMECASE lowercase SERVER 'AD_SERVER' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com' ATTRNAME 'sAMAccountName' CACERT '/nz/caCert/ca_cert.pem';"

CACERT est le chemin d'accès au fichier du certificat de l'autorité de certification.

Le fichier sssd.conf se présente désormais comme suit.

[domain/external_ldap]

###The below common parameters and values should not be changed

ldap_default_authtok_type = obfuscated_password
ldap_schema = AD
ldap_group_name = CN
ldap_user_name = sAMAccountName
ignore_group_members = True
auth_provider = ldap
ldap_rfc2307_fallback_to_local_users = True
ldap_referrals = False
override_homedir = /home/%u
ldap_network_timeout = 3
ldap_opt_timeout = 60
cache_credentials = True
entry_cache_group_timeout = 0
entry_cache_user_timeout = 0
ldap_search_timeout = 30
id_provider = ldap
entry_cache_timeout = 600
case_sensitive = False
ldap_id_mapping = True
#ldap_group_attribute =
#debug_level = 10

###Supplied from Input

ldap_uri = ldaps://AD_SERVER:636
ldap_user_search_base = dc=nzdevelopment,dc=com
ldap_default_bind_dn = cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com
ldap_tls_reqcert = demand
ldap_id_use_start_tls = False
ldap_tls_cacert = /nz/caCert/ca_cert.pem

ldap_default_authtok = AAAQAAIxX3meMywHbwCnnFQRhRJAHpAICVBjoXmg6OhLr9ASy0RijAO4WdYwAioHf5Fmy6yQc0g8/CXOrx7VQ1BbrfYAAQID
[sssd]
services = nss, ifp, sudo, ssh, pam
domains = external_ldap

[nss]
memcache_timeout = 600
homedir_substring = /home

[pam]
#debug_level = 10

[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]

Si vous avez de nombreux groupes et/ou utilisateurs sur le serveur AD, vous pouvez améliorer les performances de connexion en ajoutant ldap_group_member = uniqueMember au fichier sssd.conf.

1. Ajouter ldap_group_member = uniqueMember à la section [domain/external_ldap] dans /etc/sssd/sssd.conf.

ignore_group_members = True (add only if not present since this variable was already exist)
ldap_group_member = uniqueMember

2. Redémarrez le service sssd.

systemctl stop sssd ; rm -f /var/lib/sss/db/* ; systemctl start sssd

3. Vérifier l'authentification.

Régler l'authentification sur AD avec TLS ON

Vous pouvez établir une connexion sécurisée avec le serveur LDAP/AD en utilisant TLS. Pour ce faire, activez le drapeau TLS dans le fichier de certificat de l'autorité de certification.

Activez l'authentification AD avec TLS.

nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=nzdevelopment,dc=com' NAMECASE lowercase SERVER 'AD_SERVER' SSL 'OFF' TLS 'ON' BINDPW Netezzapwd BINDDN 'cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com' ATTRNAME 'sAMAccountName' CACERT '/nz/caCert/ca_cert.pem';"

Note : Vous ne pouvez pas régler à la fois TLS et SSL sur ON.

Le fichier sssd.conf se présente désormais comme suit.

[domain/external_ldap]

###The below common parameters and values should not be changed

ldap_default_authtok_type = obfuscated_password
ldap_schema = AD
ldap_group_name = CN
ldap_user_name = sAMAccountName
ignore_group_members = True
auth_provider = ldap
ldap_rfc2307_fallback_to_local_users = True
ldap_referrals = False
override_homedir = /home/%u
ldap_network_timeout = 3
ldap_opt_timeout = 60
cache_credentials = True
entry_cache_group_timeout = 0
entry_cache_user_timeout = 0
ldap_search_timeout = 30
id_provider = ldap
entry_cache_timeout = 600
case_sensitive = False
ldap_id_mapping = True
#ldap_group_attribute =
#debug_level = 10

###Supplied from Input

ldap_uri = ldap://AD_SERVER:389
ldap_user_search_base = dc=nzdevelopment,dc=com
ldap_default_bind_dn = cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com
ldap_tls_reqcert = demand
ldap_id_use_start_tls = True
ldap_tls_cacert = /nz/caCert/ca_cert.pem

ldap_default_authtok = AAAQAAIxX3meMywHbwCnnFQRhRJAHpAICVBjoXmg6OhLr9ASy0RijAO4WdYwAioHf5Fmy6yQc0g8/CXOrx7VQ1BbrfYAAQID
[sssd]
services = nss, ifp, sudo, ssh, pam
domains = external_ldap

[nss]
memcache_timeout = 600
homedir_substring = /home

[pam]
#debug_level = 10

[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]

Remarque : le serveur Active Directory mentionné dans la commande SET AUTHENTICATION doit correspondre au nom d'hôte figurant dans le fichier de certificat du serveur LDAP.

Si vous avez de nombreux groupes et/ou utilisateurs sur le serveur AD, vous pouvez améliorer les performances de connexion en ajoutant ldap_group_member = uniqueMember au fichier sssd.conf.

1. Ajouter ldap_group_member = uniqueMember à la section [domain/external_ldap] dans /etc/sssd/sssd.conf.

ignore_group_members = True (add only if not present since this variable was already exist)
ldap_group_member = uniqueMember

2. Redémarrez le service sssd.

systemctl stop sssd ; rm -f /var/lib/sss/db/* ; systemctl start sssd

3. Vérifier l'authentification.