OpenLDAP サーバーのセットアップ

Db2® Warehouse はデフォルトでは内蔵タイプの OpenLDAP サーバーを使用して認証および許可を行います。ただし、代わりに外部の OpenLDAP サーバーを使用することもできます。

1. 以下のグループ用に LDAP エントリーを作成します。

   bluadmin

   Db2 Warehouse 管理者のグループです。 その CN 属性 (フルネームまたは共通名) の値は、bluadmin でなければなりません。

   bluusers

   Db2 Warehouse ユーザーのグループです。 その CN 属性の値は、bluusers でなければなりません。

   注:

   • 両方のグループのロケーションは同じでなければなりません。つまり、CN 属性を除いて、2 つのグループの DN は同一でなければなりません。
   • 項目ごとに、objectclass: top 属性と objectclass: posixGroup 属性を指定します。

   以下に例を示します。

   • bluadmin グループの場合:

     dn: cn=bluadmin,ou=groups,dc=example,dc=com
     objectClass: top
     objectClass: posixGroup
     cn: bluadmin
     gidNumber: unique_bluadmin_group_ID

   • bluusers グループの場合:

     dn: cn=bluusers,ou=groups,dc=example,dc=com
     objectClass: top
     objectClass: posixGroup
     cn: bluusers
     gidNumber: unique_bluusers_group_ID

2. bluadmin グループに含める bluadmin ユーザーの LDAP エントリーを作成します。
   このエントリーでは、objectclass 属性として account、posixAccount、および top を指定します。 以下に例を示します。

   dn: uid=bluadmin,ou=users,dc=example,dc=com
   uid: bluadmin
   cn: bluadmin
   objectClass: account
   objectClass: posixAccount
   objectClass: top
   loginShell: /bin/bash
   uidNumber: unique_bluadmin_user_ID
   gidNumber: unique_bluadmin_group_ID
   
   gecos: bluadmin

3. bluadmin ユーザーの一連の memberuid 属性を含むように bluadmin グループを変更します。
   最初の memberuid 属性には、bluadmin ユーザーの uid 属性の値を使用します。2 番目の memberuid 属性には、bluadmin ユーザーの dn 属性の値を使用します。以下に例を示します。

   dn: cn=bluadmin,ou=groups,dc=example,dc=com
   changetype: modify
   add: memberuid
   memberuid: bluadmin 
   memberuid: uid=bluadmin,ou=users,dc=example,dc=com

4. すべてのノードで外部 OpenLDAP サーバーのホスト名を解決できるようにします。例えば、各ノード・ホストの /etc/hosts ファイルに外部 OpenLDAP サーバーを定義する方法があります。この方法を使用して外部 OpenLDAP サーバーを定義する場合は、Db2 Warehouse を再デプロイする必要があります。
5. 外部 OpenLDAP サーバーに対するクライアントとして機能するように Db2 Warehouse を構成します。 これらのエントリー例では、グループの基本 DN は ou=groups,dc=example,dc=com です。
   • Web コンソールを使用します。
     1. 「設定」 > 「外部ユーザー管理 (External User Management)」をクリックします。
     2. 「外部 LDAP (External LDAP)」をクリックし、外部 LDAP の接続情報を指定します。
   • ヘッド・ノードで、configure_user_management コマンドを実行します。以下に例を示します。

     docker exec -it Db2wh configure_user_management --host myhost.example.com --port 389 --searcher-dn uid=searcher,ou=users,dc=example,dc=org --searcher-password searcherpass --client-store /mnt/clusterfs/scratch/client.p12 --client-store-password clientstorepass --ca-cert /mnt/clusterfs/scratch/ca.crt

     注: グループ基本 DN またはユーザー基本 DN を指定する場合:

     • グループ基本 DN は、bluadmin および bluusers グループと同じロケーションに (つまりそれらと同じディレクトリー内に) 存在する必要があります。
     • ユーザー基本 DN は、ステップ 2 で bluadmin ユーザー用に指定した DN と同じですが、uid=bluadmin 属性は除きます。

     --admin-group-name、--user-group-name、および --admin-user-name パラメーターを使用して、 管理グループ (デフォルトは bluadmin)、ユーザー・グループ (デフォルトは bluusers)、および管理ユーザー (デフォルトは bluadmin) のデフォルト名をオーバーライドすることができます。 例えば、システムが実動システムであるかテスト・システムであるかに応じて、異なるグループおよびユーザーを使用することができます。 これらのグループおよびユーザーに関するその他の要件はすべて同じままとなります。

6. 必要であれば、Db2 Warehouse 管理者を bluadmin グループに追加することによって追加作成し、 Db2 Warehouse ユーザーを bluusers グループに追加することによって追加作成します。 手順 2 と 3 で bluadmin ユーザーに対して使用した方法と同様の方法を使用します。各管理者とユーザーの uid と uidNumbers の属性値は固有でなければなりません。