NetWorker: Så här konfigurerar du LDAPS-autentisering

Summary: Översikt över konfiguration av AD eller Secure Lightweight Directory Access Protocol (LDAPS) med NetWorker med hjälp av NMC:s guide för extern utfärdare. Denna KB kan också användas för instruktioner om hur du uppdaterar en befintlig konfiguration av extern utfärdare. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Den här artikeln kan delas upp i följande avsnitt. Läs igenom varje avsnitt noggrant innan du fortsätter:

Nödvändiga förhandsåtgärder:

  • Ta reda på vilken värd som är authc server. Detta är användbart i större NetWorker-datazoner. I mindre datazoner med en enda NetWorker-server är NetWorker-servern autentiseringsservern. 
  • Ta reda på vilken Java Runtime-miljö som används för autentiseringstjänsten.
  • Ange kommandoradsvariabler för att underlätta import av CA-certifikat som används för SSL med NetWorker extern autentisering.

Konfigurera SSL:

  • Importera certifikaten som används för LDAPS-autentisering till körningsmiljön för autentiseringstjänster cacerts nyckelbehållare.

Konfigurera resursen för extern utfärdare:

  • Skapa resursen för extern utfärdare i autentiseringstjänsten.
  • Bestäm vilka externa användare eller grupper som ska användas för NetWorker.
  • Definiera vilka externa användare eller grupper som har åtkomst till NetWorker Management Console (NMC).
  • Definiera de NetWorker-serverbehörigheter som externa användare och grupper har.
  • (Valfritt) Konfigurera FULL_CONTROL säkerhetsbehörigheter för en extern användare eller grupp.

Nödvändiga förhandsåtgärder:

Om du vill använda LDAPS måste du importera CA-certifikatet (eller certifikatkedjan) från LDAPS-servern till NetWorker-autentiseringsserverns Java cacerts-nyckelarkiv.

  1. Ta reda på vilken värd som är NetWorker-autentiseringsservern. Detta kan valideras i NetWorker Management Console-serverns (NMC) gstd.conf-fil:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
Obs! Informationen gstd.conf Filen innehåller en sträng authsvc_hostname som definierar den autentiseringsserver som används för att behandla inloggningsförfrågningar för NetWorker Management Console (NMC).
  1. Identifiera den Java-instans som används på NetWorker-autentiseringsservern.
Windows:
A. Sök Om i Windows sökfält.
B. Från Om klickar du på Avancerade systeminställningar.
C. Från Systemegenskaper klickar du på Miljövariabler.
D. Informationen NSR_JAVA_HOME anger sökvägen till Java Runtime Environment som används av NetWorker authc:

NSR_JAVA_HOME

    1. E. Från en administrativ kommandotolk anger du kommandoradsvariabler som anger java-installationssökvägen som bestämdes i steget ovan:
set JAVA="Path\to\java"
Exempel:
 Exempel på inställning av JAVA-variabel Windows  
Underlättar java keytool kommandon i Konfigurera SSL och ser till att rätt cacerts importerar CA-certifikatet. Den här variabeln tas bort när kommandoradssessionen stängs och stör inte några andra NetWorker-åtgärder.

Linux:

    A. Kontrollera /nsr/authc/conf/installrc för att se vilken Java-plats som användes när autentiseringstjänsten konfigurerades:

    sudo cat /nsr/authc/conf/installrc
    Exempel: 
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    Obs! Den här variabeln gäller endast för NetWorker-processer. Det är möjligt att echo $JAVA_HOME kommer att återvända en annan väg; till exempel om Oracle Java Runtime Environment (JRE) också är installerat. I nästa steg är det viktigt att använda $JAVA_HOME sökväg enligt definitionen i NetWorkers /nsr/authc/conf/installrc fil.

    B. ​​​​Ange kommandoradsvariabler som anger java-installationssökvägen som bestämdes i steget ovan.

    JAVA=/path/to/java
    Exempel:
    ställa in java-variabel Linux 
    Underlättar java keytool kommandon i Konfigurera SSL och ser till att rätt cacerts importerar CA-certifikatet. Den här variabeln tas bort när kommandoradssessionen stängs och stör inte några andra NetWorker-åtgärder.

    Konfigurera SSL

    Om du vill använda LDAPS måste du importera CA-certifikatet (eller certifikatkedjan) från LDAPS-servern till JAVA-förtroendenyckelarkivet. Detta kan göras med följande procedur:

    Obs! Nedanstående process använder kommandoradsvariabler som anges enligt avsnittet Förutsättningar . Om kommandoradsvariablerna inte har angetts anger du den fullständiga java-sökvägen i stället.
    1. Öppna en administrativ/rotkommandotolk.
    2. Visa en lista över aktuella betrodda certifikat i förtroendearkivet.
    Windows: 
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    3. Granska listan för att se om det finns ett alias som matchar LDAPS-servern (den kanske inte finns). Du kan använda operativsystemet grep eller findstr kommandon med kommandot ovan för att begränsa sökningen. Om det finns ett föråldrat eller befintligt CA-certifikat från LDAPS-servern tar du bort det med följande kommando:

    Windows:

    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    Obs! Ersätt ALIAS_NAME med aliasnamnet för de gamla eller utgångna certifikaten från steg 2.
      4. Använd OpenSSL-verktyget för att hämta en kopia av CA-certifikatet från LDAPS-servern. 
      openssl s_client -showcerts -connect LDAPS_SERVER:636
      • Som standard inkluderar Windows-värdar inte openssl program. Om det inte går att installera OpenSSL på NetWorker-servern kan certifikaten exporteras direkt från LDAPS-servern. Vi rekommenderar dock starkt att du använder OpenSSL-verktyget. 
      • Linux levereras vanligtvis med openssl installerat. Om det finns Linux-servrar i miljön kan du använda openssl för att hämta certifikatfilerna. Dessa kan kopieras till och användas på Windows-skärmen authc server.
      • Om du inte har OpenSSL och det inte kan installeras måste AD-administratören ange ett eller flera certifikat genom att exportera dem som Base-64-kodat x.509-format.
      • Ersätt LDAPS_SERVER med LDAPS-serverns värdnamn eller IP-adress.
      5. Ovanstående kommando matar ut CA-certifikatet eller en certifikatkedja i PEM-format (Privacy Enhanced Mail), t.ex.: 
      -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
      Obs! Om det finns en certifikatkedja är det sista certifikatet CA-certifikatet. Du måste importera varje certifikat i kedjan i ordning (uppifrån och ned) som slutar med CA-certifikatet.
       
      6. Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och slutar med ---END CERTIFICATE--- och klistra in den i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
      7. Importera certifikatet eller certifikatfilerna som skapats till JAVA-förtroendenyckelarkivet:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE

      Linux:

      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Ersätt ALIAS_NAME med ett alias för det importerade certifikatet (till exempel RCA (rotcertifikatutfärdare)). När du importerar flera certifikat för en certifikatkedja måste varje certifikat ha ett annat ALIAS-namn och importeras separat. Certifikatkedjan måste också importeras i ordning från steg 5 (uppifrån och ner).
      • Ersätt PATH_TO\CERT_FILE med platsen för certifikatfilen som du skapade i steg 6.
      8. Du uppmanas att importera certifikatet, skriv yes Och tryck på Enter. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Bekräfta att certifikatet visas i nyckelbehållaren:
      Windows: 
      %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit

      Linux:

      $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
      Obs! Rör (|) operativsystemet grep eller findstr kommandot till ovanstående för att begränsa resultatet. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Starta om NetWorker-servertjänsterna. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      Obs! Starta om NetWorker-servertjänsterna för att säkerställa att authc läser cacerts-filen och identifierar importerade certifikat för SSL-kommunikation med LDAP-servern.
       

      Konfigurera resursen för extern utfärdare

      Denna kunskapsbasartikel fokuserar på att använda NetWorker Management Console (NMC) för att konfigurera LDAP över SSL. När du konfigurerar AD över SSL rekommenderar vi att du använder NetWorker-webbanvändargränssnittet (NWUI). Den här processen beskrivs i:

      Om någon av artiklarna följs kan du hoppa till den del där den externa auktoritetsresursen skapas, det är inte nödvändigt att upprepa proceduren för import av certifikat.

      Obs! Denna KB kan följas när AD konfigureras över SSL. Ytterligare steg krävs dock. Dessa steg beskrivs nedan.

      1. Logga in på NetWorker Management Console (NMC) med ditt NetWorker-administratörskonto. Välj Konfiguration–> Användare och roller –> Extern utfärdare.
      2. Skapa eller ändra din befintliga externa utfärdarkonfiguration, välj LDAP över SSL i listrutan Servertyp. Då ändras porten automatiskt från 389 till 636:
      Exempel på hur du lägger till AD över SSL från NMC
      Obs! Expandera fältet Visa avancerade alternativ och se till att rätt värden har angetts för autentiseringsservern. I fältet Ytterligare information i denna KB finns en tabell som förklarar fälten och värdena.

      För Active Directory över SSL:

      VARNING! Med hjälp av NMC-inställningen "LDAP over SSL" med Microsoft Active Directory ställs den interna konfigurationsparametern "is active directory" in på "false". Detta förhindrar lyckad AD-autentisering i NetWorker. Följande steg kan användas för att korrigera detta.

      A. Hämta information om konfigurations-ID:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Exempel:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Använd authc_config Kommando för att ställa in is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      Obs! De värden som krävs för dessa fält kan erhållas från steg A.
       
      Exempel: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Resursen för extern utfärdare är nu korrekt konfigurerad för Microsoft Active Directory.

       
      3. Du kan använda authc_mgmt på NetWorker-servern för att bekräfta att AD-/LDAP-grupperna/-användarna är synliga: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Exempel: 
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      Obs! På vissa system kan authc Kommandon kan misslyckas med felmeddelandet "Felaktigt lösenord" även när rätt lösenord har angetts. Detta beror på att lösenordet anges som synlig text med "-p"-alternativet. Om du stöter på detta, ta bort "-p password" från kommandona. Du kommer att bli ombedd att ange lösenordet dolt efter att du har kört kommandot.
       

      Konfigurera NMC att acceptera extern autentisering:

      4. När du är inloggad på NMC som NetWorker-administratörskonto öppnar du Inställningar--Användare> och roller--NMC-roller>. Öppna egenskaperna för rollen Konsolprogramadministratörer och ange det unika namnet Den här hyperlänken tar dig till en webbplats utanför Dell Technologies. (DN) för en AD/LDAP-grupp i fältet externa roller . För användare som behöver behörigheter på samma nivå som NetWorker-standardadministratörskontot anger du AD/LDAP-gruppens DN i rollen Konsolsäkerhetsadministratörer . För AD-användare eller grupper som inte behöver administratörsbehörighet till NMC-konsolen lägger du till deras fullständiga DN i konsolanvändarens externa roller.

      Exempel på externa roller som anges i NMC-roller 
      Obs! Som standard finns redan DN för NetWorker-serverns grupp LOCAL Administrators. Ta inte bort den.
       

      Konfigurera externa användarbehörigheter för NetWorker-servern:

      5. Anslut NetWorker-servern från NMC och öppna Server-->User Groups. Ange det unika namnet (DN) för en AD/LDAP-grupp i fältet externa roller i rollegenskaperna Programadministratörer . För användare som behöver behörigheter på samma nivå som standardkontot NetWorker-administratör måste du ange AD/LDAP-gruppens DN i rollen Säkerhetsadministratörer.
      Konfigurera nsr-användargrupper med externa användare eller grupper
      Obs! Som standard finns redan DN för NetWorker-serverns grupp LOCAL Administrators. Ta inte bort den.
       
      Alternativt kan du använda nsraddadmin Så här uppnår du detta för externa användare/grupper som ska ha fullständiga NetWorker-administratörsrättigheter: 
      nsraddadmin -e "USER/GROUP_DN"
      Exempel: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Få åtkomst till NMC:
      Du bör ha åtkomst till NMC- och NetWorker-servern med de externa användare som har beviljats behörighet att göra det.
      Logga in som extern användare
      När användaren är inloggad visas han eller hon i det övre högra hörnet av NMC:
      NMC visar AD-användare

      Extra säkerhetsbehörigheter

      6. (VALFRITT) Om du vill att en AD/LDAP-grupp ska kunna hantera externa myndigheter måste du göra följande på NetWorker-servern.
       
      A. Öppna en administrativ/rotkommandotolk.
      B. Med hjälp av AD-gruppens DN som du vill ge FULL_CONTROL behörighet att köra: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Exempel: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Additional Information

      Mer information finns i NetWorker Security Configuration Guide som finns på: https://www.dell.com/support/home/product-support/product/networker/docs

      konfigurationsvärden:

      Servertyp Välj LDAP om autentiseringsservern är en Linux/UNIX LDAP-server, Active Directory om du använder en Microsoft Active Directory-server.
      Auktoritetsnamn Ange ett namn för den externa autentiseringsutfärdaren. Det här namnet kan vara vad du vill att det ska vara, det är bara för att skilja mellan andra auktoriteter när flera är konfigurerade.
      Providerns servernamn Det här fältet ska innehålla det fullständigt kvalificerade domännamnet (FQDN) för din AD- eller LDAP-server.
      Hyresgäst Klienter kan användas i miljöer där mer än en autentiseringsmetod kan användas eller när flera myndigheter måste konfigureras. Som standard är klientorganisationen "standard" vald. Användningen av klienter ändrar din inloggningsmetod. Logga in på NMC med "domän\användare" för standardklientorganisationen eller "klient\domän\användare" för andra klientorganisationer.
      Domän Ange ditt fullständiga domännamn (exklusive värdnamn). Vanligtvis är detta ditt bas-DN som består av dina domänkomponentvärden (DC) för din domän. 
      Portnummer Använd port 389 för LDAP- och AD-integrering. För LDAP över SSL använder du port 636.
      Dessa portar är standardportar som inte kommer från NetWorker på AD/LDAP-servern.
      Användar-DN Ange det unika namnet (DN) för ett användarkonto som har fullständig läsåtkomst till LDAP- eller AD-katalogen.
      Ange det relativa DN för användarkontot, eller det fullständiga DN om det åsidosätter det värde som anges i fältet Domän.
      Användarens DN-lösenord Ange lösenordet för det angivna användarkontot.
      Klassen Gruppobjekt Objektklassen som identifierar grupper i LDAP- eller AD-hierarkin.
      • För LDAP använder du groupOfUniqueNames eller groupOfNames 
        Obs! Det finns andra gruppobjektklasser förutom groupOfUniqueNames och groupOfNames.  Använd den objektklass som är konfigurerad på LDAP-servern.
      • För AD använder du group
      Sökväg för grupp Detta fält kan lämnas tomt, i vilket fall authc kan fråga den fullständiga domänen. Behörigheter måste beviljas för NMC/NetWorker-serveråtkomst innan dessa användare/grupper kan logga in på NMC och hantera NetWorker-servern. Ange den relativa sökvägen till domänen i stället för fullständigt DN.
      Attribut för gruppnamn Attributet som identifierar gruppnamnet. Till exempel cn
      Attribut för gruppmedlem Gruppmedlemskapet för användaren i en grupp
      • För LDAP:
        • När gruppobjektklassen är groupOfNamesär attributet vanligen member.
        • När gruppobjektklassen är groupOfUniqueNamesär attributet vanligen uniquemember.
      •  För AD är värdet vanligtvis member.
      Användarobjektklass Objektklassen som identifierar användarna i LDAP- eller AD-hierarkin.
      Till exempel inetOrgPerson eller user
      Sökväg för användare Precis som sökvägen för grupper kan det här fältet lämnas tomt, i vilket fall authc kan fråga hela domänen. Ange den relativa sökvägen till domänen i stället för fullständigt DN.
      Attribut för användar-ID Det användar-ID som är associerat med användarobjektet i LDAP- eller AD-hierarkin.
      • För LDAP är det här attributet ofta uid.
      • För AD är det här attributet ofta sAMAccountName.

      Andra relevanta artiklar:

      Affected Products

      NetWorker
      Article Properties
      Article Number: 000156132
      Article Type: How To
      Last Modified: 17 Jun 2025
      Version:  14
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.