Autenticazione LDAP tramite OPENLDAP

Procedura

1. Aggiungere l'utente OPENLDAP a Netezza Performance Server.

   create user <user> password <password>

   Definire la password in base alla propria politica di password.
   Esempio:

   create user <user> password <password>

2. Impostare il tipo di autenticazione.
   • Impostare l'autenticazione su OPENLDAP con SSL/TLS disattivato
     1. Eseguire il comando.

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'OFF' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com'; "

        cn è il sito Common Name.

        dc è il sito Domain component.

     2. Ora il file sssd.conf si presenta come nell'esempio seguente.

        [domain/external_ldap]
        
        ###The below common parameters and values should not be changed
        
        ldap_default_authtok_type = obfuscated_password
        ldap_schema = rfc2307
        #ldap_group_name =
        #ldap_user_name =
        ignore_group_members = False
        auth_provider = ldap
        ldap_rfc2307_fallback_to_local_users = True
        ldap_referrals = False
        override_homedir = /home/%u
        ldap_network_timeout = 3
        ldap_opt_timeout = 60
        cache_credentials = True
        entry_cache_group_timeout = 0
        entry_cache_user_timeout = 0
        ldap_search_timeout = 30
        id_provider = ldap
        entry_cache_timeout = 600
        case_sensitive = False
        ldap_id_mapping = False
        #ldap_group_attribute =
        #debug_level = 10
        
        ###Supplied from Input
        
        ldap_uri = ldap://OPENLDAP_SERVER_FQDN_OR_IP:389
        ldap_user_search_base = dc=example,dc=com
        ldap_default_bind_dn = cn=oldap_admin_user1,cn=Users,dc=example,dc=com
        ldap_tls_reqcert = never
        #ldap_id_use_start_tls =
        #ldap_tls_cacert =
        
        ldap_default_authtok = AAAQAHyh0uE+spiukG6zQ89FjCZdgIqHaYvqz5ToDPwbIxy2/whEzpa0+OTycf5q4Ivni+cHJ1EMkRarmGo9Wwna5voAAQID
        [sssd]
        services = nss, ifp, sudo, ssh, pam
        domains = external_ldap
        
        [nss]
        memcache_timeout = 600
        homedir_substring = /home
        
        [pam]
        #debug_level = 10
        
        [sudo]
        [autofs]
        [ssh]
        [pac]
        [ifp]
        [secrets]

   • Impostare l'autenticazione su OPENLDAP con SSL ON

     Il certificato deve essere rilasciato al server OPENLDAP da una CA affidabile. Ottenere il file del certificato CA e salvarlo in una posizione del sistema Netezza Performance Server. Per i sistemi Netezza Performance Server ad alta disponibilità (HA), salvare il file in una posizione dell'unità condivisa, ad esempio in una nuova directory sotto /nz. Entrambi i nodi di Netezza Performance Server devono poter accedere al file del certificato utilizzando lo stesso nome di percorso. In genere, il certificato CA ha l'estensione .pem.

     1. Eseguire il comando.

        nzsql -c " SET AUTHENTICATION LDAP BASE 'dc=example,dc=com' NAMECASE lowercase SERVER 'OPENLDAP_SERVER_FQDN_OR_IP' SSL 'ON' BINDPW Netezzapwd BINDDN 'cn=oldap_admin_user1,cn=Users,dc=example,dc=com' CACERT '/nz/caCert/ca_cert.pem'; "