Configurando LDAP transparente para autenticação e consulta de grupo (Linux)

Para garantir que o servidor de banco de dados Db2® use de forma transparente a autenticação baseada em LDAP no sistema operacional Linux® , use Pluggable Authentication Modules (PAM). Seu servidor LDAP já deve ser configurado para armazenar informações do usuário e do grupo.

Antes de iniciar

Antes de tentar configurar o LDAP transparente em seu sistema, certise-se de que as seguintes condições existem:
  • Um servidor LDAP compatível com RFC 2307 é configurado em seu sistema.
  • Os pacotes de software cliente necessários e dependências estão instalados em seu sistema.
    • Para os sistemas RHEL 7, execute o seguinte comando:
      yum install openldap openldap-clients sssd sssd-client authconfig
    • Para os sistemas RHEL 8, execute o seguinte comando:
      yum install openldap openldap-clients sssd sssd-client authselect
    • Nos sistemas SUSE Linux Enterprise Server (SLES) 12 ou 15, execute o seguinte comando:
      zypper install sssd-ldap sssd
    • Para os sistemas Ubuntu , execute o seguinte comando:
      apt install sssd-ldap ldap-utils

Sobre essa Tarefa

O procedimento configura o Daemon de Serviços de Segurança do Sistema (SSSD) e seu módulo PAM associado (pam_sss) para fornecer serviços de autenticação para o sistema operacional e Db2. O uso de SSSD é a configuração recomendada.

Nota: SSSD requer suporte TLS para ser ativado no servidor LDAP.

Configurações que usam pam_ldap, pam_unix, pam_unix2e pam_krb5 para autenticação também são suportadas pelo Db2. Configurações usando outros módulos PAM podem funcionar, mas não são suportadas. Se o método de autenticação desejado já estiver configurado no sistema, vá em Db2 Configuração de Autenticação.

Para configurar com sucesso o LDAP transparente, são necessários os seguintes detalhes:
  • Hostname do servidor LDAP
  • Porta do servidor LDAP (o padrão para TLS full time é 636, se StartTLS for suportado, o padrão será 389)
  • DN base de pesquisa LDAP
  • O certificado raiz, ou o URL do certificado raiz, do servidor LDAP.
  • Se a autenticação for necessária, o DN DN e a senha
Para os fins deste procedimento, são utilizados os seguintes detalhes para a configuração LDAP:
Item Valor
Nome do host ldap.example.com
Porta 636 (Padrão para LDAP sobre TLS)
O TLS está ativado Sim
URL do certificado TLS http://example.com/cacombined.pem
DN base de pesquisa LDAP ou = Anytown, o=example.com
Autenticação Não requerido

Procedimento

  1. Ativar autenticação LDAP do sistema através de SSSD. Se o método de autenticação desejado já foi configurado no sistema, vá para a etapa 2.
  2. Configure Db2 para usar o Pluggable Authentication Modules (PAM), também conhecido como Transparent LDAP, para autenticar com o sistema operacional.
  3. Opcional: Configure quaisquer opções de autenticação adicionais.