Windows Active Directoryによる LDAP認証

手順

1. Windows Active Directory ユーザーをデータベースに追加する。

   create user <user> password <password>

   パスワード・ポリシーに従ってパスワードを定義します。
   例:

   nzsql -c "create user ad_user1 password 'password';"

2. 認証タイプを設定します。
   • SSL/TLSをオフにして、認証をADに設定する
     1. コマンドを実行します。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=nzdevelopment,dc=com' NAMECASE lowercase SERVER 'AD_SERVER' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com' ATTRNAME 'sAMAccountName';"

     2. これで sssd.conf 。

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = AD
        ldap_group_name = CN
        ldap_user_name = sAMAccountName
        ignore_group_members = True
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = True
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://AD_SERVER:389
        ldap_user_search_base = dc=nzdevelopment,dc=com
        ldap_default_bind_dn = cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com
        ldap_tls_reqcert = never
        #ldap_id_use_start_tls =
        #ldap_tls_cacert =
        
        ldap_default_authtok = AAAQAA5gKJVg+dHVdi2LU9uTepJAJRYtMh1mlO8vp4ysVuFjw5OrxTeY4MteantA1+FLTm2+XGmtdokCsiZAfGExIlsAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

        ADサーバー上に多数のグループやユーザーがいる場合、 sssd.conf ファイルに ldap_group_member = uniqueMember を追加することで、ログイン・パフォーマンスを向上させることができる。

        1. /etc/sssd/sssd.conf の [domain/external_ldap] セクションに ldap_group_member = uniqueMember を追加する。

        ignore_group_members = True (add only if not present since this variable was already exist)
        ldap_group_member = uniqueMember

        2. sssd サービスを再起動する。

        systemctl stop sssd ; rm -f /var/lib/sss/db/* ; systemctl start sssd

        3.認証を確認する。

   • SSL ONで認証をADに設定する
     証明書は、信頼できる CA によって AD サーバーに発行される必要があります。 CA 証明書ファイルを取得し、 Netezza Performance Server システム上の場所に保存します。 Netezza Performance Serverの高可用性（HA）システムの場合は、共有ドライブ上の場所（ /nz 下の新しいディレクトリなど）にファイルを保存します。 Netezza Performance Server システムノードの両方が、同じパス名を使用して証明書ファイルにアクセスできる必要があります。

     1. SSLをオンにしたAD認証を設定します。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=nzdevelopment,dc=com' NAMECASE lowercase SERVER 'AD_SERVER' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com' ATTRNAME 'sAMAccountName' CACERT '/nz/caCert/ca_cert.pem';"

        CACERT は、CA 証明書ファイルのパスです。
     2. これで sssd.conf 。

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = AD
        ldap_group_name = CN
        ldap_user_name = sAMAccountName
        ignore_group_members = True
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = True
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldaps://AD_SERVER:636
        ldap_user_search_base = dc=nzdevelopment,dc=com
        ldap_default_bind_dn = cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com
        ldap_tls_reqcert = demand
        ldap_id_use_start_tls = False
        ldap_tls_cacert = /nz/caCert/ca_cert.pem
        
        ldap_default_authtok = AAAQAAIxX3meMywHbwCnnFQRhRJAHpAICVBjoXmg6OhLr9ASy0RijAO4WdYwAioHf5Fmy6yQc0g8/CXOrx7VQ1BbrfYAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

     ADサーバー上に多数のグループやユーザーがいる場合、 sssd.conf ファイルに ldap_group_member = uniqueMember を追加することで、ログイン・パフォーマンスを向上させることができる。

     1. /etc/sssd/sssd.conf の [domain/external_ldap] セクションに ldap_group_member = uniqueMember を追加する。

     ignore_group_members = True (add only if not present since this variable was already exist)
     ldap_group_member = uniqueMember

     2. sssd サービスを再起動する。

     systemctl stop sssd ; rm -f /var/lib/sss/db/* ; systemctl start sssd

     3.認証を確認する。

   • 認証をADに設定し、TLSをONにする

     TLS を使用して、LDAP/AD サーバーへのセキュア接続を確立できます。 これを行うには、CA 証明書ファイルで TLS フラグを有効にします。

     1. TLSをオンにしたAD認証を設定する。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=nzdevelopment,dc=com' NAMECASE lowercase SERVER 'AD_SERVER' SSL 'OFF' TLS 'ON' BINDPW Netezzapwd BINDDN 'cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com' ATTRNAME 'sAMAccountName' CACERT '/nz/caCert/ca_cert.pem';"

        注： TLSとSSLの両方を ON に設定することはできません。
     2. これで sssd.conf 。

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = AD
        ldap_group_name = CN
        ldap_user_name = sAMAccountName
        ignore_group_members = True
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = True
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://AD_SERVER:389
        ldap_user_search_base = dc=nzdevelopment,dc=com
        ldap_default_bind_dn = cn=ad_admin_user1,cn=Users,dc=nzdevelopment,dc=com
        ldap_tls_reqcert = demand
        ldap_id_use_start_tls = True
        ldap_tls_cacert = /nz/caCert/ca_cert.pem
        
        ldap_default_authtok = AAAQAAIxX3meMywHbwCnnFQRhRJAHpAICVBjoXmg6OhLr9ASy0RijAO4WdYwAioHf5Fmy6yQc0g8/CXOrx7VQ1BbrfYAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

        注： SET AUTHENTICATION コマンドで言及された Active Directory サーバーは、LDAP サーバー証明書ファイルのホスト名と一致していなければならない。

     ADサーバー上に多数のグループやユーザーがいる場合、 sssd.conf ファイルに ldap_group_member = uniqueMember を追加することで、ログイン・パフォーマンスを向上させることができる。

     1. /etc/sssd/sssd.conf の [domain/external_ldap] セクションに ldap_group_member = uniqueMember を追加する。

     ignore_group_members = True (add only if not present since this variable was already exist)
     ldap_group_member = uniqueMember

     2. sssd サービスを再起動する。

     systemctl stop sssd ; rm -f /var/lib/sss/db/* ; systemctl start sssd

     3.認証を確認する。