NetWorker:如何設定 LDAPS 驗證
Summary: 使用 NMC 的外部授權單位精靈,為 NetWorker 設定 AD 或安全 Lightweight Directory Access Protocol (LDAPS) 的概觀。此 KB 也可用於指示更新現有外部授權單位組態。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
本文可分為以下幾個部分。在繼續之前,請仔細閱讀每個部分:
先決條件:
- 判斷哪個主機為
authc伺服器。這在較大的 NetWorker 資料區中很實用。在具有單一 NetWorker 伺服器的較小資料區中,NetWorker 伺服器為驗證伺服器。 - 確定用於驗證服務的 Java 執行時間環境。
- 設定命令列變數,以協助透過 NetWorker 外部驗證匯入用於 SSL 的 CA 憑證。
設定 SSL:
- 將用於 LDAPS 驗證的憑證匯入驗證服務執行時間環境
cacerts金鑰存放區。
設定外部授權單位資源:
- 在驗證服務中建立外部授權單位資源。
- 決定要用於 NetWorker 的外部使用者或群組。
- 定義哪些外部使用者或群組可以存取 NetWorker Management Console (NMC)。
- 定義外部使用者和群組擁有的 NetWorker 伺服器權限。
- (選用) 為外部使用者或群組設定 FULL_CONTROL 安全性權限。
先決條件:
若要使用 LDAPS,您必須將 CA 憑證 (或憑證鏈) 從 LDAPS 伺服器匯入到 NetWorker 驗證伺服器的 Java cacerts 金鑰存放區中。
- 判斷哪一個主機是 NetWorker 驗證伺服器。這可以在 NetWorker Management Console (NMC) 伺服器的 gstd.conf 檔案中進行驗證:
Linux:
Windows:
/opt/lgtonmc/etc/gstd.conf
Windows:
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
注意:可使用
gstd.conf 檔案包含字串 authsvc_hostname 其定義用於處理 NetWorker Management Console (NMC) 登入要求的驗證伺服器。
- 在 NetWorker 驗證伺服器上,識別所使用的 Java 執行個體。
Windows:
A. 在 Windows 搜尋列中搜尋關於。
B.從關於中,按一下進階系統設定。
C.從系統內容中,按一下環境變數。
D.可使用
B.從關於中,按一下進階系統設定。
C.從系統內容中,按一下環境變數。
D.可使用
NSR_JAVA_HOME 變數定義 NetWorker 使用的 Java 執行時間環境路徑 authc:
-
- E. 在系統管理命令提示字元下,設定命令列變數,指定在上述步驟中確定的 java 安裝路徑:
set JAVA="Path\to\java"
範例:
協助執行 java
keytool 命令 (在設定 SSL 中),並確保將正確的 cacerts 檔案匯入 CA 憑證。命令列工作階段關閉後,便會移除此變數,且不會干擾其他任何 NetWorker 操作。
Linux:
A. 檢查 /nsr/authc/conf/installrc 檔案,以查看設定驗證服務時使用的 Java 位置:
sudo cat /nsr/authc/conf/installrc
範例:
[root@nsr ~]# cat /nsr/authc/conf/installrc JAVA_HOME=/opt/nre/java/latest
注意:此變數僅適用於 NetWorker 程序。有可能
echo $JAVA_HOME 將會傳回不同的路徑;例如,如果也安裝了 Oracle Java 執行時間環境 (JRE)。在下一步中,請務必使用 $JAVA_HOME 路徑,如在 NetWorker 的 /nsr/authc/conf/installrc 檔案中所定義。
B. 設定命令列變數,指定在上述步驟中確定的 java 安裝路徑。
JAVA=/path/to/java
範例:
協助執行 java
keytool 命令 (在設定 SSL 中),並確保將正確的 cacerts 檔案匯入 CA 憑證。命令列工作階段關閉後,便會移除此變數,且不會干擾其他任何 NetWorker 操作。
設定 SSL
若要使用 LDAPS,您必須將 CA 憑證 (或憑證鏈) 從 LDAPS 伺服器匯入到 JAVA 信任金鑰存放區中。這可以透過下列程序完成:
注意:以下程序使用遵循先決條件區段設定的命令列變數。若未設定命令列變數,請改為指定完整 java 路徑。
1.開啟管理/根命令提示字元。
2.顯示信任存放區中目前受信任的憑證清單。
2.顯示信任存放區中目前受信任的憑證清單。
Windows:
%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linux:
$JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
3.檢閱清單中與 LDAPS 伺服器相符的別名 (這可能不存在)。您可以使用作業系統
grep 或 findstr 命令搭配上述命令來縮小搜尋範圍。如果 LDAPS 伺服器中有過期或現有的 CA 憑證,請使用以下命令將其刪除:
Windows:
%JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linux:
$JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
注意:將 ALIAS_NAME 取代為步驟 2 中的舊憑證或過期憑證的別名。
4.使用 OpenSSL 工具從 LDAPS 伺服器取得 CA 憑證的副本。
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Windows 主機預設不包含
openssl程式。如果無法在 NetWorker 伺服器上安裝 OpenSSL,可直接從 LDAPS 伺服器匯出憑證;但是,強烈建議您使用 OpenSSL 公用程式。 - Linux 通常隨附
openssl(已安裝)。如果環境中存在 Linux 伺服器,您可以在該處使用openssl來收集憑證檔案。這些憑證檔案可以複製到 Windowsauthc伺服器上並在該處使用。 - 如果您沒有 OpenSSL,且無法安裝,請讓您的 AD 管理員以 Base-64 編碼的 x.509 格式匯出這些憑證,以提供一或多個憑證。
- 將 LDAPS_SERVER 取代為 LDAPS 伺服器的主機名稱或 IP 位址。
5.上述命令會以「隱私權強化郵件」(PEM) 格式輸出 CA 憑證或憑證鏈,例如:
-----BEGIN CERTIFICATE----- MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs ... 7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm m4mGyefXz4TBTwD06opJf4NQIDo= -----END CERTIFICATE-----
注意:如果存在憑證鏈,則最後一個憑證是 CA 憑證。您必須按照以 CA 憑證結尾的順序 (由上至下) 匯入鏈中的每個憑證。
6.從
7.將建立的一或多個憑證檔案匯入至 JAVA 信任金鑰存放區:
---BEGIN CERTIFICATE--- 開始並以 ---END CERTIFICATE--- 結束來複製憑證,然後將其貼上到新檔案中。如果存在憑證鏈,則必須對每個憑證執行此操作。
7.將建立的一或多個憑證檔案匯入至 JAVA 信任金鑰存放區:
Windows:
%JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
Linux:
$JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
- 將 ALIAS_NAME 取代為已匯入憑證的別名 (例如,RCA (根 CA))。為憑證鏈匯入多個憑證時,每個憑證都必須具有不同的別名並分開匯入。也必須按步驟 5 (由上至下) 的順序匯入憑證鏈。
- 將 PATH_TO\CERT_FILE 取代為您在步驟 6 中建立之憑證檔案的位置。
8.系統會提示您匯入憑證,請鍵入
yes 然後按下 Enter 鍵。
C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer Owner: CN=networker-DC-CA, DC=networker, DC=lan Issuer: CN=networker-DC-CA, DC=networker, DC=lan Serial number: 183db0ae21d3108244254c8aad129ecd ... ... ... Trust this certificate? [no]: yes Certificate was added to keystore
9.確認憑證顯示在金鑰存放區中:
Windows:
%JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linux:
$JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
注意: Pipe (
|) 作業系統 grep 或 findstr 命令至上方以縮小結果範圍。
C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA RCA, Jan 15, 2025, trustedCertEntry,
10.重新啟動 NetWorker 伺服器服務。
Windows:
net stop nsrd net start nsrd
Linux:
nsr_shutdown service networker start
注意:重新啟動 NetWorker 伺服器服務,以確保 authc 讀取 cacerts 檔案並偵測匯入的憑證,以便與 LDAP 伺服器進行 SSL 通訊。
設定外部授權單位資源
本 KB 著重於使用 NetWorker Management Console (NMC) 設定 LDAP over SSL。設定 AD over SSL 時,建議使用 NetWorker Web 使用者介面 (NWUI)。此程序詳述於:
或者,您可以使用 authc_config 指令檔方法:
如果遵循任一條款,則可以跳到建立外部授權單位資源的部分,而無需重複憑證匯入程序。
注意:設定 AD over SSL 時,可以遵循此 KB;但是,還需要執行其他步驟。以下概述這些步驟。
1.以 NetWorker 系統管理員帳戶登入 NetWorker Management Console (NMC)。選取設定 --> 使用者和角色 --> 外部授權單位。
2.建立或修改現有的外部授權單位組態,從「伺服器類型」下拉式功能表中選取 LDAP over SSL。這會自動將連接埠從 389 變更為 636:
注意:展開「顯示進階選項」欄位,並確保為驗證伺服器設定了正確的值。如需欄位和值的說明,請參閱此 KB 的其他資訊欄位。
對於 Active Directory over SSL:
警告:對 Microsoft Active Directory 使用 NMC「LDAP over SSL」設定,將內部組態參數「是 active directory」設定為「false」。這會使 NetWorker 無法成功進行 AD 驗證。以下步驟可用於更正此問題。
A. 取得組態 id 詳細資料:
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#
範例:
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1 AD
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : AD
Config Domain : networker.lan
Config Server Address : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : false
Config Search Subtree : true
B. 使用
authc_config 命令來設定 is-active-directory=y:
authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
注意:這些欄位所需的值可以從步驟 A 取得。
範例:
nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : AD
Config Domain : networker.lan
Config Server Address : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : true
Config Search Subtree : true
現在已為 Microsoft Active Directory 正確設定外部授權單位資源。
3.您可以使用
authc_mgmt 命令,以確認可以看到 AD/LDAP 群組/使用者:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
範例:
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan The query returns 40 records. User Name Full Dn Name ... ... bkupadmin CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan The query returns 71 records. Group Name Full Dn Name ... ... NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
注意:在某些系統上,
authc 命令可能會失敗並顯示「密碼不正確」錯誤,即使提供了正確的密碼也是如此。這是因為密碼使用-p」選項指定為可見文字。如果您遇到這種情況,請從命令移除「-p password」。執行命令後,系統會提示您輸入隱藏的密碼。
設定 NMC 以接受外部驗證:
4.以預設 NetWorker 系統管理員帳戶登入 NMC 時,請開啟設定 --> 使用者和角色 --> NMC 角色。開啟主控台應用程式系統管理員角色的內容,並在外部角色欄位中輸入 AD/LDAP 群組的辨別名稱 
(DN)。如果使用者需要與預設 NetWorker 系統管理員帳戶相同層級的權限,請在主控台安全性系統管理員角色中指定 AD/LDAP 群組 DN。對於不需要 NMC 主控台系統管理權限的 AD 使用者或群組,請在主控台使用者外部角色中新增其完整 DN。
(DN)。如果使用者需要與預設 NetWorker 系統管理員帳戶相同層級的權限,請在主控台安全性系統管理員角色中指定 AD/LDAP 群組 DN。對於不需要 NMC 主控台系統管理權限的 AD 使用者或群組,請在主控台使用者外部角色中新增其完整 DN。
注意:預設已有 NetWorker 伺服器本機系統管理員群組的 DN,請勿將其刪除。
設定 NetWorker 伺服器外部使用者權限:
5.從 NMC 連線 NetWorker 伺服器,開啟伺服器 --> 使用者群組。在應用程式系統管理員角色內容的外部角色欄位中,輸入 AD/LDAP 群組的辨別名稱 (DN)。如果使用者需要與預設 NetWorker 系統管理員帳戶相同層級的權限,必須在安全性系統管理員角色中指定 AD/LDAP 群組 DN。
注意:預設已有 NetWorker 伺服器本機系統管理員群組的 DN,請勿將其刪除。
或者,您可以使用
nsraddadmin 以為應具有完整 NetWorker 系統管理員權限的外部使用者/群組達成此目的:
nsraddadmin -e "USER/GROUP_DN"範例:
nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan" 134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group. 134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
存取 NMC:
您應該能使用已獲授權的外部使用者存取 NMC 和 NetWorker 伺服器。
登入後,使用者將顯示在 NMC 的右上角:
額外的安全性權限
6.(選用) 如果您想要 AD/LDAP 群組能夠管理外部授權單位,您必須在 NetWorker 伺服器上執行下列步驟。
A. 開啟管理/根命令提示字元。
B.使用要授予 FULL_CONTROL 權限的 AD 群組 DN 來執行:
B.使用要授予 FULL_CONTROL 權限的 AD 群組 DN 來執行:
authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
範例:
nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan" Permission FULL_CONTROL is created successfully. nve:~ # nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions The query returns 2 records. Permission Id Permission Name Group DN Pattern Group DN 1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$ 2 FULL_CONTROL CN=NetWorker_Admins,OU=DELL,dc=networ...
Additional Information
如需其他資訊,請參閱 NetWorker 安全性組態指南,網址為:https://www.dell.com/support/home/product-support/product/networker/docs
組態值:
| 伺服器類型 | 如果驗證伺服器是 Linux/UNIX LDAP 伺服器,請選取 LDAP,如果您使用 Microsoft Active Directory 伺服器,請選取 Active Directory。 |
| 授權單位名稱 | 為此外部驗證授權單位提供名稱。此名稱可以是您想要的任何名稱,它只是為了在設定多個授權單位時區分其他授權單位。 |
| 供應商伺服器名稱 | 此欄位應包含 AD 或 LDAP 伺服器的完整網域名稱 (FQDN)。 |
| 租戶 | 租戶可用於可能使用多種認證方法或必須設定多個授權單位的環境中。預設為選取「預設」租戶。使用租戶會更改您的登入方法。預設租戶使用「domain\user」登入 NMC,其他租戶則使用「tenant\domain\user」登入 NMC。 |
| 網域 | 指定您的完整網域名稱 (不包括主機名稱)。這通常是您的基底 DN,它由網域的網域元件 (DC) 值組成。 |
| 連接埠號碼 | 若為 LDAP 和 AD 整合,請使用連接埠 389。若為 LDAP over SSL,請使用連接埠 636。 這些連接埠是 AD/LDAP 伺服器上的非 NetWorker 預設連接埠。 |
| 使用者 DN | 指定對 LDAP 或 AD 目錄具有完整讀取存取權之使用者帳戶的辨別名稱 (DN)。 指定使用者帳戶的相對 DN,如果覆蓋在「網域」欄位中設定的值,則指定完整 DN。 |
| 使用者 DN 密碼 | 指定所指定使用者帳戶的密碼。 |
| 群組物件類別 | 識別 LDAP 或 AD 階層中群組的物件類別。
|
| 群組搜尋路徑 | 此欄位可以保留空白,在此情況下 authc 能夠查詢完整網域。必須先授予 NMC/ NetWorker 伺服器存取權限,這些使用者/群組才能登入 NMC 並管理 NetWorker 伺服器。指定網域的相對路徑,而不是完整 DN。 |
| 群組名稱屬性 | 識別群組名稱的屬性。例如: cn |
| 群組成員屬性 | 使用者在群組中的群組成員資格
|
| 使用者物件類別 | 識別 LDAP 或 AD 階層中使用者的物件類別。 例如, inetOrgPerson 或 user |
| 使用者搜尋路徑 | 與「群組搜尋路徑」一樣,此欄位可以保留空白,在這種情況下,authc 能夠查詢完整網域。指定網域的相對路徑,而不是完整 DN。 |
| 使用者 ID 屬性 | 與 LDAP 或 AD 階層中使用者物件相關聯的使用者 ID。
|
其他相關文章:
Affected Products
NetWorkerArticle Properties
Article Number: 000156132
Article Type: How To
Last Modified: 17 Jun 2025
Version: 14
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.