使用 OPENLDAP 进行 LDAP 验证

过程

1. 将 OPENLDAP 用户添加到 Netezza Performance Server。

   create user <user> password <password>

   根据密码策略定义密码。
   示例：

   create user <user> password <password>

2. 设置身份验证类型。
   • 将身份验证设置为 OPENLDAP，同时关闭 SSL/TLS
     1. 运行该命令。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

        cn 是 。 Common Name

        dc 是 。 Domain component

     2. 现在， sssd.conf 文件的外观如下所示。

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = rfc2307
        #ldap_group_name =
        #ldap_user_name =
        ignore_group_members = False
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = False
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://OPENLDAP_SERVER_FQDN_OR_IP:389
        ldap_user_search_base = dc=example,dc=com
        ldap_default_bind_dn = cn=oldap_admin_user1,cn=Users,dc=example,dc=com
        ldap_tls_reqcert = never
        #ldap_id_use_start_tls =
        #ldap_tls_cacert =
        
        ldap_default_authtok = AAAQAHyh0uE+spiukG6zQ89FjCZdgIqHaYvqz5ToDPwbIxy2/whEzpa0+OTycf5q4Ivni+cHJ1EMkRarmGo9Wwna5voAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

   • 将身份验证设置为 OPENLDAP，并开启 SSL

     必须由可信 CA 向 OPENLDAP 服务器颁发证书。 获取 CA 证书文件并将其保存在 Netezza Performance Server 系统上的某个位置。 对于 Netezza Performance Server高可用性 (HA) 系统，将文件保存在共享驱动器上的某个位置，如 /nz 下的新目录。 两个 Netezza Performance Server节点必须能够使用相同的路径名访问证书文件。 通常，CA 证书有 .pem 扩展名。

     1. 运行该命令。

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com' CACERT '/nz/caCert/ca_cert.pem'; "