OPENLDAPによるLDAP認証

手順

1. OPENLDAP ユーザーを Netezza Performance Server に追加します。

   create user <user> password <password>

   パスワード・ポリシーに従ってパスワードを定義します。
   例:

   create user <user> password <password>

2. 認証タイプを設定します。
   • 認証をOPENLDAPに設定し、SSL/TLSをオフにする
     1. コマンドを実行します。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

        cn は 。 Common Name

        dc は 。 Domain component

     2. これで、 sssd.conf ファイルは次の例のようになる。

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = rfc2307
        #ldap_group_name =
        #ldap_user_name =
        ignore_group_members = False
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = False
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://OPENLDAP_SERVER_FQDN_OR_IP:389
        ldap_user_search_base = dc=example,dc=com
        ldap_default_bind_dn = cn=oldap_admin_user1,cn=Users,dc=example,dc=com
        ldap_tls_reqcert = never
        #ldap_id_use_start_tls =
        #ldap_tls_cacert =
        
        ldap_default_authtok = AAAQAHyh0uE+spiukG6zQ89FjCZdgIqHaYvqz5ToDPwbIxy2/whEzpa0+OTycf5q4Ivni+cHJ1EMkRarmGo9Wwna5voAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

   • SSLをONにしてOPENLDAPに認証を設定する

     証明書は、信頼できる CA によって OPENLDAP サーバーに発行される必要があります。 CA 証明書ファイルを取得し、 Netezza Performance Server システム上の場所に保存します。 Netezza Performance Serverの高可用性（HA）システムの場合は、共有ドライブ上の場所（ /nz 以下の新しいディレクトリなど）にファイルを保存します。 両方の Netezza Performance Server ・ノードが同じパス名を使用して証明書ファイルにアクセスできる必要があります。 通常、CA 証明書の拡張子は .pem になります。

     1. コマンドを実行します。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com' CACERT '/nz/caCert/ca_cert.pem'; "