NetWorker:LDAPS認証を構成する方法

Summary: NMCの外部認証局ウィザードを使用してNetWorkerでADまたはSecure Lightweight Directory Access Protocol (LDAPS)を構成する方法の概要について説明します。このKBは、既存の外部認証局の構成を更新する手順にも使用できます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

この記事は、次のセクションに分割されています。続行する前に、各セクションを慎重に確認してください。

前提条件:

  • どのホストが authc サーバーであるかを確認します。これは、大規模なNetWorkerデータゾーンで役立ちます。単一のNetWorkerサーバーを含む小規模なデータゾーンでは、NetWorkerサーバーが認証サーバーになります。 
  • 認証サービスに使用するJava Runtime Environmentを確認します。
  • NetWorker外部認証によるSSLに使用されるCA証明書をインポートできるように、コマンドライン変数を設定します。

SSLのセットアップ:

  • LDAPS認証に使用する証明書を、認証サービスのランタイム環境の cacerts キーストアにインポートします。

外部認証局リソースの構成:

  • 認証サービスの外部認証局リソースを作成します。
  • NetWorkerで使用する外部ユーザーまたはグループを決定します。
  • NetWorker Management Console (NMC)へのアクセス権を持つ外部ユーザーまたはグループを定義します。
  • 外部ユーザーおよびグループに付与するNetWorkerサーバー権限を定義します。
  • (オプション)外部ユーザーまたはグループのFULL_CONTROLセキュリティ権限を構成します。

前提条件:

LDAPSを使用するには、CA証明書(または証明書チェーン)をLDAPSサーバーからNetWorker認証サーバーのJava cacertsキーストアにインポートする必要があります。

  1. NetWorker認証サーバーがどのホストであるかを確認します。これは、NetWorker Management Console (NMC)サーバーのgstd.confファイルで検証できます。
Linuxの場合 /opt/lgtonmc/etc/gstd.conf
Windowsの場合: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
メモ:gstd.conf 」ファイルには「 authsvc_hostname 」文字列が含まれます。これにより、NetWorker Management Console (NMC)のログイン リクエストを処理するために使用される認証サーバーが定義されます。
  1. NetWorker認証サーバーで、使用されているJavaインスタンスを特定します。
Windowsの場合:
A. Windowsの検索バーで[バージョン情報]を検索します
B.[バージョン情報]から[システムの詳細設定]をクリックします。
C.[システムのプロパティ]から、[環境変数]をクリックします。
D.「 NSR_JAVA_HOME 」は、NetWorkerの authcが使用するJava Runtime Environmentへのパスを定義します。

NSR_JAVA_HOME

    1. E. 管理コマンド プロンプトから、前述の手順で確認したJavaインストール パスを指定するコマンドライン変数を設定します。
set JAVA="Path\to\java"
Example:
 JAVA変数の設定例(Windows)  
java keytool コマンド(「SSLのセットアップを参照)を使用して、正しい cacerts ファイルでCA証明書がインポートされることを確認します。この変数は、コマンドライン セッションが終了すると削除され、他のNetWorker操作に干渉しません。

Linuxの場合

    A. /nsr/authc/conf/installrc ファイルをチェックして、認証サービスの構成時に使用されたJavaの場所を確認します。

    sudo cat /nsr/authc/conf/installrc
    Example: 
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    メモ: この変数は、NetWorkerプロセスにのみ適用されます。ただし、 echo $JAVA_HOME が別のパスを返す場合があります。例えば、Oracle Java Runtime Environment (JRE)もインストールされている場合などです。次のステップでは、 $JAVA_HOME パス(NetWorkerの /nsr/authc/conf/installrc ファイルで定義)を使用することが重要です。

    B. 前述の手順で確認したJavaインストール パスを指定するコマンドライン変数を設定します。

    JAVA=/path/to/java
    Example:
    Java変数の設定(Linux) 
    java keytool コマンド(「SSLのセットアップを参照)を使用して、正しい cacerts ファイルでCA証明書がインポートされることを確認します。この変数は、コマンドライン セッションが終了すると削除され、他のNetWorker操作に干渉しません。

    SSLのセットアップ

    LDAPSを使用するには、LDAPSサーバーからJAVAトラスト キーストアにCA証明書(または証明書チェーン)をインポートする必要があります。これは、次の手順に従って実行できます。

    メモ: 以下のプロセスでは、「前提条件」セクションに従って設定されたコマンドライン変数を使用します。コマンドライン変数が設定されていない場合は、代わりに完全なJavaパスを指定します。
    1.管理/rootコマンド プロンプトを開きます。
    2.トラスト ストア内の現在信頼されている証明書のリストを表示します。
    Windowsの場合: 
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linuxの場合 
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    3.リストで、使用しているLDAPSサーバーに一致するエイリアスを確認します(存在しない可能性があります)。オペレーティング システムの grep または findstr コマンドを前掲のコマンドで使用して、検索を絞り込むことができます。LDAPSサーバーからの古いCA証明書または既存のCA証明書がある場合は、次のコマンドを使用して削除します。

    Windowsの場合:

    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linuxの場合 
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    メモ: ALIAS_NAMEを手順2の古い証明書または期限切れの証明書のエイリアス名に置き換えます。
      4.OpenSSLツールを使用して、LDAPSサーバーからCA証明書のコピーを取得します。 
      openssl s_client -showcerts -connect LDAPS_SERVER:636
      • デフォルトでは、Windowsホストには openssl プログラムは含まれません。NetWorkerサーバーにOpenSSLをインストールできない場合は、証明書をLDAPSサーバーから直接エクスポートできます。ただし、OpenSSLユーティリティーを使用することを強くお勧めします。 
      • Linuxには通常、 openssl がインストールされています。環境内にLinuxサーバーが存在する場合は、 openssl を使用して証明書ファイルを収集できます。これらは、Windowsの authc サーバーであるかを確認します。
      • OpenSSLがなく、インストールできない場合は、AD管理者に、Base-64エンコード済みx.509形式でそれらをエクスポートして、1つ以上の証明書を提供してもらいます。
      • LDAPS_SERVERをLDAPSサーバーのホスト名またはIPアドレスに置き換えます。
      5.前述のコマンドは、CA証明書または証明書チェーンをPrivacy Enhanced Mail (PEM)形式で出力します。例: 
      -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
      メモ: 証明書チェーンがある場合は、最後の証明書がCA証明書になります。チェーン内の各証明書は、CA証明書を最後にした順番で(トップダウンで)インポートする必要があります。
       
      6.証明書を ---BEGIN CERTIFICATE--- から ---END CERTIFICATE--- までコピーします。次に、新しいファイルにそれを貼り付けます。証明書チェーンがある場合は、証明書ごとにこれを行う必要があります。
      7.JAVAトラスト キーストアに作成された証明書または証明書ファイルをインポートします。
      Windowsの場合: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE

      Linuxの場合

      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • ALIAS_NAMEをインポートされた証明書のエイリアス(RCA(ルートCA)など)に置き換えます。証明書チェーンに複数の証明書をインポートする場合、各証明書には異なるエイリアス名が必要であり、個別にインポートする必要があります。証明書チェーンも、手順5の順番で(トップダウンで)インポートする必要があります。
      • PATH_TO\CERT_FILEを、手順6で作成した証明書ファイルの場所に置き換えます。
      8.証明書をインポートするように求められたら、 yes と入力してEnterを押します。 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9.証明書がキーストアに表示されていることを確認します。
      Windowsの場合: 
      %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit

      Linuxの場合

      $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
      メモ: パイプ記号(|)でオペレーティング システムの grep または findstr コマンドを上記に追加して、結果を絞り込みます。 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10.NetWorkerサーバー サービスを再起動します。 
      Windowsの場合:  
      net stop nsrd
net start nsrd
      Linuxの場合  
      nsr_shutdown
service networker start
      メモ: NetWorkerサーバー サービスを再起動して、authcによってcacertsファイルが読み取られ、インポートされた証明書が検出され、LDAPサーバーとのSSL通信が行われることを確認します。
       

      外部認証局リソースの構成

      このKBでは、NetWorker Management Console (NMC)を使用してLDAP over SSLを構成する方法について説明します。AD over SSLで構成する場合は、NetWorker Webユーザー インターフェイス(NWUI)を使用することをお勧めします。このプロセスの詳細については、次を参照してください。

      または、 authc_config スクリプト メソッドを使用できます。

      いずれかの記事に従った場合は、外部認証局リソースを作成するパートにスキップできます。証明書のインポート手順を繰り返す必要はありません。

      メモ: このKBは、AD over SSLを構成する場合に従うことができます。ただし、追加の手順が必要です。これらの手順の概要を以下に示します。

      1.NetWorker Management Console (NMC)にNetWorker管理者アカウントでログインします。[Setup]>[Users and Roles]>[External Authority]の順に選択します。
      2.既存の外部認証局の構成を作成または変更し、[Server Type]ドロップダウンから[LDAP over SSL]を選択します。これにより、ポートが自動的に389から636に変更されます。
      NMCからAD over SSLを追加する例
      メモ: [Show Advanced Options]フィールドを展開し、認証サーバーに正しい値が設定されていることを確認します。フィールドと値を説明する表については、このKBの「Additional Info」フィールドを参照してください。

      Active Directory over SSLの場合:

      警告:Microsoft Active DirectoryでNMCの「LDAP over SSL」設定を使用すると、内部構成パラメーター「is active directory」が「false」に設定されます。これにより、NetWorkerでAD認証が正常に行われなくなります。このエラーを修正するには、次の手順を使用します。

      A. Config IDの詳細を取得します。

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Example:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. authc_config コマンドを使用して、 is-active-directory=yが使用するJava Runtime Environmentへのパスを定義します。 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      メモ: これらのフィールドに必要な値は、手順Aから取得できます。
       
      Example: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      これで、外部認証局リソースがMicrosoft Active Directory用に正しく構成されました。

       
      3.お使いのNetWorkerサーバーで authc_mgmt コマンドを使用して、AD/LDAPグループ/ユーザーが表示されることを確認します。 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Example: 
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      メモ: システムによっては、正しいパスワードが指定されていても、 authc コマンドが「incorrect password」エラーで失敗することがあります。これは、パスワードが-pオプションを使用して可視テキストとして指定されているからです。この問題が発生した場合は、コマンドから-p passwordを削除します。コマンドを実行後、パスワードを非表示にして入力するように求められます。
       

      外部認証を受け入れるようにNMCを構成するには、次の手順を実行します。

      4.デフォルトのNetWorker管理者アカウントとしてNMCにログインしたら、[Setup]>[Users and Roles]>[NMC Roles]を開きます。「Console Application Administrators」ロールのプロパティを開き、[External Roles]フィールドにAD/LDAPグループの識別名このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。(DN)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「Console Security Administrators」ロールでAD/LDAPグループのDNを指定します。NMCコンソールに対する管理者権限を必要としないADユーザーまたはグループの場合は、「Console User」外部ロールで完全なDNを追加します。

      NMCロールに設定された外部ロールの例 
      メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これは削除しないでください。
       

      NetWorkerサーバーの外部ユーザー権限の構成:

      5.NetWorkerサーバーにNMCから接続し、[Server]>[User Groups]を開きます。「Application Administrators」ロール プロパティの[External Roles]フィールドに、AD/LDAPグループの識別名(DN)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「Security Administrators」ロールでAD/LDAPグループDNを指定する必要があります。
      外部ユーザーまたはグループを使用したnsrユーザー グループの構成
      メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これは削除しないでください。
       
      または、 nsraddadmin を使用して、完全なNetWorker管理者権限を持つ必要がある外部ユーザー/グループに対してこれを実現することができます。 
      nsraddadmin -e "USER/GROUP_DN"
      Example: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      NMCへのアクセス:
      NMCおよびNetWorkerサーバーへのアクセス権限が付与されている外部ユーザーとしてアクセスできる必要があります。
      外部ユーザーとしてログイン
      ログインすると、NMCの右上隅にユーザーが表示されます。
      ADユーザーを示すNMC

      追加のセキュリティ権限

      6.(オプション)AD/LDAPグループが外部認証局を管理できるようにするには、NetWorkerサーバーで次の操作を実行する必要があります。
       
      A. 管理/rootコマンド プロンプトを開きます。
      B.FULL_CONTROL権限を付与するADグループのDNを使用して、次を実行します。 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Example: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Additional Information

      詳細については、次のサイトにある『NetWorker Security Configuration Guide』を参照してください:https://www.dell.com/support/home/product-support/product/networker/docs

      構成値:

      [Server Type] 認証サーバーがLinux/UNIX LDAPサーバーの場合は[LDAP]を選択し、Microsoft Active Directoryサーバーを使用する場合は[Active Directory]を選択します。
      [Authority Name] この外部認証局の名前を指定します。この名前は任意の名前にすることができます。これは、複数の認証局が構成されている場合に他の認証機関と区別するためのものです。
      [Provider Server Name] このフィールドには、ADまたはLDAPサーバーの完全修飾ドメイン名(FQDN)を含める必要があります。
      [Tenant] テナントは、複数の認証方法を使用する可能性がある環境や、複数の認証局を構成する必要がある場合に使用できます。デフォルトでは、「デフォルト」のテナントが選択されています。テナントを使用すると、ログイン方法が変更されます。デフォルトのテナントの場合は「domain\user」を、その他のテナントの場合は「tenant\domain\user」を使用してNMCにログインします。
      ドメイン 完全なドメイン名(ホスト名を除く)を指定します。通常、これはドメインのドメイン コンポーネント(DC)値で構成されるベースDNです。 
      ポート番号 LDAPとADの統合には、ポート389を使用します。LDAP over SSLの場合は、ポート636を使用します。
      これらのポートは、AD/LDAPサーバー上のNetWorker以外のデフォルト ポートです。
      [User DN]: LDAPまたはADディレクトリーへの完全な読み取りアクセス権を持つユーザー アカウントの識別名(DN)を指定します。
      ユーザー アカウントの相対DNを指定するか、ドメイン フィールドで設定された値をオーバーライドする場合は完全なDNを指定します。
      [User DN Password]: 指定されたユーザー アカウントのパスワードを指定します。
      [Group Object Class] LDAPまたはAD階層内のグループを識別するオブジェクト クラス。
      • LDAPの場合は、次を使用します: groupOfUniqueNames または groupOfNames 
        メモ: オブジェクト クラス( groupOfUniqueNamesgroupOfNames)以外にも、いくつかのグループ オブジェクト クラスがあります。  LDAPサーバーで構成されているオブジェクト クラスを使用します。
      • ADの場合は、次を使用します: group
      [Group Search Path] このフィールドは空白のままにしておくことができます。その場合は、 authc を使用して、ドメイン全体を照会できます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理するには、NMC/NetWorkerサーバーへのアクセス権限を付与する必要があります。完全なDNではなく、ドメインへの相対パスを指定します。
      [Group Name Attribute] グループ名を識別する属性。例 cn
      [Group Member Attribute] グループ内のユーザーのグループ メンバーシップ:
      • LDAPの場合:
        • グループ オブジェクト クラスが groupOfNamesの場合、属性は一般的に memberとなります。
        • グループ オブジェクト クラスが groupOfUniqueNamesの場合、属性は一般的に uniquememberとなります。
      •  ADの場合、値は一般的に memberとなります。
      [User Object Class] LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。
      例えば、 inetOrgPerson または user
      [User Search Path] [Group Search Path]と同様に、このフィールドは空白のままにすることができます。その場合、authcを使用してドメイン全体を照会できます。完全なDNではなく、ドメインへの相対パスを指定します。
      [User ID Attribute] LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。
      • LDAPの場合、この属性は一般的に uidとなります。
      • ADの場合、この属性は一般的に sAMAccountNameとなります。

      その他の関連記事:

      Affected Products

      NetWorker
      Article Properties
      Article Number: 000156132
      Article Type: How To
      Last Modified: 17 Jun 2025
      Version:  14
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.