NetWorker: Як використовувати скрипти authc_config для налаштовування розпізнавання LDAPS
Summary: Загальний огляд налаштування автентифікації AD/LDAP через LDAPS за допомогою authc_config скриптів NetWorker. Цим також можна скористатися при оновленні або перетворенні наявних налаштувань LDAP на LDAPS. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Ця база даних в першу чергу зосереджена на тому, що потрібно для налаштування LDAPS, для ширшого пояснення того, що потрібно для інтеграції AD/LDAP з NetWorker, див.: NetWorker: Як налаштувати автентифікацію AD/LDAP
ПРИМІТКА: External Authority можна налаштувати за допомогою консолі керування NetWorker та веб-інтерфейсу користувача NetWorker (NWUI); Втім, під час налаштовування Active Directory за допомогою LDAPS, зазвичай, рекомендується використовувати скрипт authc_config або NWUI (19.7 і новіші). Параметр налаштовування NMC пропонує лише «LDAP поверх SSL»; якщо використано цей параметр, буде встановлено "Active Directory: false" . Цей параметр очікує, що сервером автентифікації буде LDAP, а не Microsoft Active Directory. Це призведе до невдалих входів. У процесі, описаному в цій базі знань, докладно описано, як налаштувати LDAPS за допомогою сценарію authc_configure. NWUI (19.7 і новіші) пропонує опцію «AD over SSL». NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Рекомендуємо спочатку налаштувати AD/LDAP на LDAP, а потім перетворити його на LDAP, щоб виключити будь-які потенційні проблеми з налаштуванням.
Щоб скористатися LDAPS, вам слід імпортувати сертифікат ЦС (або ланцюжок сертифікатів) із сервера LDAPS до сховища довірчих ключів JAVA. Це можна зробити за допомогою наступної процедури:
1) Відкрийте адміністративний/кореневий командний рядок.
2,a) Відображення списку поточних довірених сертифікатів у сховищі довіри.
2,b) Перегляньте список на наявність псевдоніма, який відповідає вашому серверу LDAPS (такого може не бути). Ви можете використовувати команди OS grep/findstr з наведеною вище командою, щоб звузити пошук. Якщо на вашому сервері LDAPS є застарілий/наявний сертифікат ЦС, видаліть його за допомогою такої команди:
3,a) Скористайтеся інструментом OpenSSL, щоб отримати копію сертифіката ЦС із сервера LDAPS.
3,b) Наведена вище команда виведе сертифікат ЦС або ланцюжок сертифікатів у форматі PEM, наприклад:
3,c) Скопіюйте сертифікат, починаючи з --- BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE --- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, вам потрібно буде зробити це з кожним сертифікатом.
4) Імпортуйте сертифікат(и), створені в 3,c, до сховища довірчих ключів JAVA:
5) Підтвердьте, що сертифікат відображається у сховищі ключів:
7,a) Оновіть свій сценарій authc-create-ad-config (Active Directory) АБО authc-create-ldap-config (LDAP), щоб використовувати LDAPS:
8) Підтвердьте, що конфігурація була оновлена:
Якщо під час виконання цієї процедури виникнуть будь-які помилки або проблеми, зверніться до адміністратора ЦС, щоб переконатися, що використовуються/витягуються правильні сертифікати.
ПРИМІТКА: External Authority можна налаштувати за допомогою консолі керування NetWorker та веб-інтерфейсу користувача NetWorker (NWUI); Втім, під час налаштовування Active Directory за допомогою LDAPS, зазвичай, рекомендується використовувати скрипт authc_config або NWUI (19.7 і новіші). Параметр налаштовування NMC пропонує лише «LDAP поверх SSL»; якщо використано цей параметр, буде встановлено "Active Directory: false" . Цей параметр очікує, що сервером автентифікації буде LDAP, а не Microsoft Active Directory. Це призведе до невдалих входів. У процесі, описаному в цій базі знань, докладно описано, як налаштувати LDAPS за допомогою сценарію authc_configure. NWUI (19.7 і новіші) пропонує опцію «AD over SSL». NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Рекомендуємо спочатку налаштувати AD/LDAP на LDAP, а потім перетворити його на LDAP, щоб виключити будь-які потенційні проблеми з налаштуванням.
Щоб скористатися LDAPS, вам слід імпортувати сертифікат ЦС (або ланцюжок сертифікатів) із сервера LDAPS до сховища довірчих ключів JAVA. Це можна зробити за допомогою наступної процедури:
1) Відкрийте адміністративний/кореневий командний рядок.
2,a) Відображення списку поточних довірених сертифікатів у сховищі довіри.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Зазвичай, двійкове розташування JAVA є частиною змінної середовища OS PATH, тому "keytool" можна запускати з будь-якого місця. Якщо ОС не вдається знайти виконуваний файл keytool. Запустіть команди keytool з каталогу JAVA \bin на вашому сервері NetWorker.
- Замініть JAVA_PATH на шлях до вашої інсталяції JAVA, назва шляху залежить від встановленої версії JAVA.
- У системах з встановленим середовищем виконання NetWorker (NRE) це, як правило, таке:
- Linux: /opt/nre/java/latest/
- Вікна: C:\Program Files\NRE\java\jre-###
- У системах з встановленим середовищем виконання NetWorker (NRE) це, як правило, таке:
- Замініть пароль на JAVA storepass. За замовчуванням використовується значення changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Перегляньте список на наявність псевдоніма, який відповідає вашому серверу LDAPS (такого може не бути). Ви можете використовувати команди OS grep/findstr з наведеною вище командою, щоб звузити пошук. Якщо на вашому сервері LDAPS є застарілий/наявний сертифікат ЦС, видаліть його за допомогою такої команди:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Замініть ALIAS_NAME назвою псевдоніма сервера LDAPS, зібрану з виведених даних у 2,a.
3,a) Скористайтеся інструментом OpenSSL, щоб отримати копію сертифіката ЦС із сервера LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- За замовчуванням хости Windows не включають програму openssl. Якщо немає можливості встановити OpenSSL на сервер NetWorker, сертифікати можна експортувати безпосередньо з сервера LDAPS; однак настійно рекомендується використовувати утиліту OpenSSL.
- Якщо шлях до двійкового каталогу OpenSSL не є частиною змінної середовища OS PATH, вам потрібно буде запускати команди OpenSSL з їх двійкового розташування.
- Якщо у вас немає OpenSSL і його не можна встановити, попросіть адміністратора AD надати сертифікат(и), експортувавши їх у форматі x.509 у кодуванні Base-64.
- Замініть LDAPS_SERVER назвою вузла або IP-адресою вашого сервера LDAPS.
3,b) Наведена вище команда виведе сертифікат ЦС або ланцюжок сертифікатів у форматі PEM, наприклад:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
ПРИМІТКА: Якщо є ланцюжок сертифікатів, то останнім сертифікатом є сертифікат ЦС. Вам потрібно буде імпортувати кожен сертифікат у ланцюжку по порядку (зверху вниз), закінчуючи сертифікатом ЦС.
3,c) Скопіюйте сертифікат, починаючи з --- BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE --- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, вам потрібно буде зробити це з кожним сертифікатом.
4) Імпортуйте сертифікат(и), створені в 3,c, до сховища довірчих ключів JAVA:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Замініть ALIAS_NAME псевдонімом імпортованого сертифіката. Типово, це назва сервера LDAPS. Якщо потрібно імпортувати кілька сертифікатів для ланцюжка сертифікатів, кожен сертифікат повинен мати окреме ім'я ALIAS і імпортуватися окремо. Ланцюжок сертифікатів також має бути імпортований у тому порядку, в якому він був представлений на кроці 3,a (зверху вниз).
- Замініть JAVA_PATH на шлях до вашої інсталяції JAVA, назва шляху залежить від встановленої версії JAVA.
- Замініть пароль на JAVA storepass. За замовчуванням використовується значення changeit.
- Замініть PATH_TO\CERT_FILE розташуванням файлу сертифіката, який ви створили на кроках 3,c.
- Вам буде запропоновано імпортувати сертифікат, введіть yes і натисніть Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Підтвердьте, що сертифікат відображається у сховищі ключів:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
ПРИМІТКА: Передайте (|) команду операційної системи grep або findstr до наведеної вище, щоб звузити результати.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Перезапустіть серверні служби NetWorker.
Linux:
Linux:
nsr_shutdown
Запуск
мережі службВікна: Чиста зупинка NRD Чистий старт NRD
мережі службВікна: Чиста зупинка NRD Чистий старт NRD
ПРИМІТКА: Якщо серверні служби NetWorker не перезапустити, authc не прочитає файл cacerts і не виявить імпортовані сертифікати, необхідні для встановлення SSL-зв'язку з сервером LDAP.
Мі́сце:
| Лінукс | /opt/nsr/authc-server/scripts/ |
| Вікна | [ІНСТАЛЯЦІЙНИЙ ДИСК]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
ПРИМІТКА: Якщо ви додаєте нову конфігурацію, слід використовувати "-e add-config", якщо ви оновлюєте наявну конфігурацію, слід використовувати "-e update-config". У рядку адреси config-server-address вкажіть протокол "ldaps" (має бути в нижньому регістрі) і порт "636".
7,b) Запустіть скрипт з командного рядка. Він повинен повідомити, що конфігурацію було оновлено/додано успішно.
8) Підтвердьте, що конфігурація була оновлена:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- При кожній команді вам буде запропоновано ввести пароль адміністратора NetWorker. Команду можна запустити з прапорцем "-p password", але це може не спрацювати в деяких ОС через використання відкритого текстового пароля.
- Замініть CONFIG_ID на ідентифікатор конфігурації, зібраний першою командою:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
У новій версії сервер проходить автентифікацію за допомогою AD/LDAP через LDAPS.
Якщо під час виконання цієї процедури виникнуть будь-які помилки або проблеми, зверніться до адміністратора ЦС, щоб переконатися, що використовуються/витягуються правильні сертифікати.
Additional Information
Незалежно від того, чи використовуєте ви Windows Active Directory або Linux LDAP (наприклад: OpenLDAP) для розпізнавання використовується протокол LDAP. LDAP (Lightweight Directory Application Protocol) і Secure LDAP (LDAPS) — це протоколи з'єднання, які використовуються між програмою та мережевим каталогом або контролером домену в інфраструктурі.
LDAP передає повідомлення відкритим текстом, а зв'язок LDAPS зашифрований і безпечний.
LDAP передає повідомлення відкритим текстом, а зв'язок LDAPS зашифрований і безпечний.
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020799
Article Type: How To
Last Modified: 28 Mar 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.