#active-directory #ldap #netezza #active-directory-group
#active-directory #ldap #netezza #active-directory-group
Вопрос:
Кто-нибудь знает, возможно ли синхронизировать группы пользователей Netezza с группами Microsoft Active Directory (AD)?
Устройства Netezza моего клиента уже требуют, чтобы пользователь подключался, используя свой сетевой uid и pw, через соединение с сервером LDAP. Но они хотели бы использовать группы AD на разных платформах данных. Прямо сейчас они должны поддерживать группу AD для определенного набора данных и соответствующую группу пользователей Netezza для того же самого на платформе Netezza. Есть ли способ синхронизировать их, чтобы не нужно было поддерживать две отдельные группы?
Ответ №1:
Это, безусловно, возможно Мы разработали скрипт, который экспортирует два CSV-файла из Active Directory 1) Первый файл содержит список всех групп, соответствующих определенному соглашению об именовании (начинается с G_NZ) 2) Второй файл содержит список всех пользователей в каждой из этих групп с именем группы рядом с именем пользователя 3) На основе других частей соглашений об именовании этих групп сценарий предоставляет им определенные права в определенных базах данных и схеме, соответствующей аналогичному соглашению об именовании 4) Последний шаг заключается в чтобы создать всех пользователей из файла и удалить тех, кого больше нет в файле, и добавить этих пользователей в нужные группы
Пример: База данных с именем PROD_EDW имеет схему с именем DBO, а группа G_NZ_PROD_DBO_R предоставляет доступ на чтение ко всем объектам и этой схеме
Я надеюсь, что вы можете следовать
Комментарии:
1. Спасибо! Да, я думаю, что я понимаю вас. Вы экспортируете один CSV-файл групп AD; а затем экспортируете другой CSV-файл всех пользователей, назначенных этим группам. Используете ли вы затем сценарии на хост-сервере Netezza для обновления соответствующих групп пользователей Netezza? Или вы можете изменить группы пользователей NZ через пользовательский интерфейс администратора NZ? Мне также интересно, есть ли способ автоматизировать этот процесс, чтобы группы AD и NZ оставались синхронизированными …?
2. Мы загружаем два файла в таблицы в Netezza и, по сути, ‘полное внешнее’ соединение с таблицами каталога (_v_user, _v_group и _v_usergroups) .. после сравнения изображений КАК ЕСТЬ, так и БУДУЩИХ, мы перебираем результирующие (несколько) строк и выполняем большую часть, если остальные в python генерируют SQL. Все запланировано для запуска ежедневно (22:00, насколько я помню)
3. Python на самом деле не является обязательным условием, но Perl, bash, даже awk сделают это, но сделайте так, чтобы все это выполнялось в Linus на хосте — даже извлечение из AD. Это возможно, если ваша версия Linux достаточно новая и вы устанавливаете правильные пакеты
4. Очень полезно, Ларс. Спасибо за дополнительную информацию повторно. ваша реализация. Я определенно ценю, что вы советуете, чтобы это было полностью написано на хост-сервере Netezza. Я полагаю, что мы используем Red Hat Enterprise 6 … который является винтажным 2010, если я не ошибаюсь. Я собираюсь запустить это решение в своей команде и посмотреть, что скажут наши эксперты Netezza. Я вернусь, чтобы сообщить вам результат!
5. Да, необходим пакет для запросов LDAP. Конечно, вы МОЖЕТЕ сделать это в другом месте и впоследствии перенести два файла на хост nz, но это дополнительная сложность…