NetWorker: Como configurar a autenticação LDAPS

Summary: Visão geral da configuração do AD ou do Lightweight Directory Access Protocol over SSL (LDAPS) com o NetWorker usando o assistente de autoridade externa do NMC. Também é possível usar este artigo da KB para obter instruções sobre como atualizar uma configuração existente de autoridade externa. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

É possível dividir este artigo nas seções abaixo. Antes de prosseguir, analise cuidadosamente cada seção:

Pré-requisitos:

  • Determine qual host é o servidor authc . Isso é útil em zonas de dados maiores do NetWorker. Em zonas de dados menores com um só servidor do NetWorker, este servidor é o servidor de autenticação. 
  • Determine qual Java Runtime Environment é usado para o serviço de autenticação.
  • Defina variáveis de linha de comando para promover a importação dos certificados de CA usados para SSL com autenticação externa do NetWorker.

Configurando o SSL:

  • Importe os certificados usados para autenticação LDAPS no repositório de chaves cacerts do ambiente de execução dos serviços de autenticação.

Configurando o recurso de autoridade externa:

  • Crie o recurso de autoridade externa no serviço de autenticação.
  • Determine os usuários ou grupos externos que serão usados para o NetWorker.
  • Defina quais usuários ou grupos externos têm acesso ao NetWorker Management Console (NMC).
  • Defina as permissões que grupos e usuários externos têm para o servidor do NetWorker.
  • (Opcional) Configure permissões de segurança FULL_CONTROL para um usuário ou grupo externo.

Pré-requisitos:

Para usar o LDAPS, é necessário importar o certificado de CA (ou a cadeia de certificados) do servidor LDAPS para o repositório de chaves cacerts de Java do servidor de autenticação do NetWorker.

  1. Determine qual host é o servidor de autenticação do NetWorker. É possível validar isso no arquivo gstd.conf do servidor do NetWorker Management Console (NMC):
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
Nota: O comando gstd.conf contém uma string authsvc_hostname que define o servidor de autenticação usado para processar solicitações de log-in do NetWorker Management Console (NMC).
  1. No servidor de autenticação do NetWorker, identifique a instância Java usada.
Windows:
A. Pesquise por Sobre na barra de pesquisa do Windows.
B. Em Sobre, clique em Configurações avançadas do sistema.
C. Em Propriedades do Sistema, clique em Variáveis de Ambiente.
D. O comando NSR_JAVA_HOME define o caminho do Java Runtime Environment usado pelo servidor de autenticação do NetWorker, authc:

NSR_JAVA_HOME

    1. E. Em um Prompt de comando executado como administrador, defina variáveis de linha de comando especificando o caminho de instalação do java determinado na etapa acima:
set JAVA="Path\to\java"
Exemplo:
 Exemplo de configuração de variáveis de JAVA no Windows  
Facilita comandos keytool do Java em Configurando o SSL e garante que o arquivo cacerts correto importe o certificado de CA. Essa variável é removida após o encerramento da sessão de linha de comando e não interfere em nenhuma outra operação do NetWorker.

Linux:

    A. Verifique o arquivo /nsr/authc/conf/installrc para ver qual local Java foi usado ao configurar o serviço de autenticação:

    sudo cat /nsr/authc/conf/installrc
    Exemplo: 
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    Nota: Essa variável se aplica somente aos processos do NetWorker. É possível que echo $JAVA_HOME retorne um caminho diferente; por exemplo, se o Oracle Java Runtime Environment (JRE) também estiver instalado. Na próxima etapa, é importante usar o caminho $JAVA_HOME conforme definido no arquivo do NetWorker /nsr/authc/conf/installrc .

    B. Defina variáveis de linha de comando especificando o caminho de instalação do java determinado na etapa acima.

    JAVA=/path/to/java
    Exemplo:
    configurando variáveis de java no Linux 
    Facilita comandos keytool do Java em Configurando o SSL e garante que o arquivo cacerts correto importe o certificado de CA. Essa variável é removida após o encerramento da sessão de linha de comando e não interfere em nenhuma outra operação do NetWorker.

    Configurando o SSL

    Para usar o LDAPS, é necessário importar o certificado de CA (ou a cadeia de certificados) do servidor LDAPS para o repositório de chaves confiáveis do JAVA. Para fazer isso, siga este procedimento:

    Nota: O processo abaixo usa variáveis de linha de comando definidas após seguir a seção Pré-requisitos. Se as variáveis de linha de comando não estiverem definidas, especifique o caminho completo do java.
    1. Abra um Prompt de comando root/administrador.
    2. Exiba uma lista de certificados confiáveis atuais no repositório de confiança.
    Windows: 
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    3. Analise a lista para encontrar um alias que corresponda a seu servidor LDAPS (ele pode não existir). Você pode usar comandos grep ou findstr do sistema operacional com o comando acima para restringir a pesquisa. Se houver um certificado de CA desatualizado ou existente em seu servidor LDAPS, exclua-o com o seguinte comando:

    Windows:

    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    Nota: Substitua ALIAS_NAME pelo nome do alias dos certificados antigos ou expirados da etapa 2.
      4. Use a ferramenta OpenSSL para obter uma cópia do certificado de CA do servidor LDAPS. 
      openssl s_client -showcerts -connect LDAPS_SERVER:636
      • Por padrão, os hosts do Windows não incluem o programa openssl . Se não for possível instalar o OpenSSL no servidor do NetWorker, será possível exportar os certificados diretamente do servidor LDAPS; no entanto, é altamente recomendável usar o utilitário OpenSSL. 
      • Geralmente, o Linux vem com o openssl instalado. Se houver um servidor Linux no ambiente, você poderá usar o openssl nele para coletar os arquivos de certificado. É possível copiá-los e usá-los no servidor authc .
      • Se você não tiver o OpenSSL e não for possível instalá-lo, peça que o administrador do AD forneça um ou mais certificados exportando-os no formato x.509 codificado em Base 64.
      • Substitua LDAPS_SERVER pelo nome do host ou endereço IP do servidor LDAPS.
      5. O comando acima gera o certificado da CA ou uma cadeia de certificados no formato Privacy Enhanced Mail (PEM), por exemplo: 
      -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
      Nota: Se houver uma cadeia de certificados, o último certificado será o certificado da CA. Você deve importar cada certificado da cadeia em ordem (de cima para baixo), terminando com o certificado da CA.
       
      6. Copie o certificado começando com ---BEGIN CERTIFICATE--- e terminando com ---END CERTIFICATE--- e cole-o em um novo arquivo. Se houver uma cadeia de certificados, você deverá fazer isso com cada certificado.
      7. Importe o certificado ou os arquivos de certificado criados no repositório de chaves confiáveis do JAVA:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE

      Linux:

      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Substitua ALIAS_NAME por um alias do certificado importado (por exemplo, RCA (root CA, CA raiz)). Ao importar vários certificados de uma cadeia de certificados, cada certificado deve ter um nome de ALIAS diferente e ser importado separadamente. Também é preciso importar a cadeia de certificados na ordem da etapa 5 (de cima para baixo).
      • Substitua PATH_TO\CERT_FILE pelo local do arquivo de certificado que você criou na etapa 6.
      8. Você deverá importar o certificado. Digite yes e pressione Enter. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Confirme se o certificado é exibido no repositório de chaves:
      Windows: 
      %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit

      Linux:

      $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
      Nota: Usando uma barra vertical (|), adicione o comando grep ou findstr do sistema operacional ao comando acima para restringir o resultado. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Reinicie os serviços do servidor do NetWorker. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      Nota: Reinicie os serviços do servidor do NetWorker para garantir que authc leia o arquivo cacerts e detecte certificados importados para comunicação via SSL com o servidor LDAP.
       

      Configurando o recurso de autoridade externa

      Este artigo da KB se concentra no uso do NetWorker Management Console (NMC) para configurar o LDAP via SSL. Ao configurar o AD via SSL, é recomendável usar a Interface Web do usuário do NetWorker (NWUI). Esse processo é detalhado em:

      Ao seguir qualquer um dos artigos, você poderá pular para a parte da criação do recurso de autoridade externa. Não é necessário repetir o procedimento de importação de certificados.

      Nota: É possível seguir este artigo da KB ao configurar o AD via SSL; no entanto, é necessário seguir etapas adicionais. Essas etapas estão descritas abaixo.

      1. Faça log-in no NetWorker Management Console (NMC) com a conta de administrador do NetWorker. Selecione Setup-->Users and Roles-->External Authority.
      2. Crie ou modifique sua configuração existente de autoridade externa selecionando LDAP over SSL no menu suspenso "Server Type". Isso altera automaticamente a porta de 389 para 636:
      Exemplo de adição do AD via SSL a partir do NMC
      Nota: Expanda o campo "Show Advanced Options" e certifique-se de definir os valores corretos para o servidor de autenticação. Consulte o campo Informações adicionais deste artigo da KB para ver uma tabela que explica os campos e os valores.

      Para Active Directory via SSL:

      ADVERTÊNCIA: Usar a configuração "LDAP over SSL" do NMC com o Microsoft Active Directory define o parâmetro interno de configuração "is active directory" como "false". Isso impede a autenticação bem-sucedida do AD no NetWorker. Para corrigir isso, é possível usar as etapas abaixo.

      A. Obtenha os detalhes do ID da configuração:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Exemplo:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Use o comando authc_config para definir is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      Nota: É possível obter os valores obrigatórios para esses campos na etapa A.
       
      Exemplo: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Agora, o recurso de autoridade externa está configurado corretamente para o Microsoft Active Directory.

       
      3. Você pode usar o comando authc_mgmt no servidor do NetWorker para confirmar se os grupos/usuários do AD/LDAP estão visíveis: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Exemplo: 
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      Nota: Em alguns sistemas, os comandos authc podem falhar com um erro de "incorrect password" mesmo quando a senha correta é informada. Isso ocorre porque a senha está sendo especificada como texto visível com a opção "-p". Se você encontrar esse erro, remova "-p password" dos comandos. Será solicitado que você digite a senha oculta depois de executar o comando.
       

      Configurando o NMC para aceitar autenticação externa:

      4. Quando estiver conectado ao NMC com a conta padrão de administrador do NetWorker, abra Setup-->Users and Roles-->NMC Roles. Abra as propriedades da função Console Application Administrators e digite o Nome distinto Esse hiperlink direcionará você para um site fora da Dell Technologies. (DN) de um grupo do AD/LDAP no campo External roles. Para usuários que precisam das mesmas permissões de nível que a conta padrão de administrador do NetWorker, especifique o DN do grupo do AD/LDAP na função Console Security Administrators. Para usuários ou grupos do AD que não precisam de direitos administrativos ao console do NMC, adicione o DN completo deles nas funções externas do Console User.

      Exemplo de funções externas definidas nas funções do NMC 
      Nota: Por padrão, já existe o DN do grupo LOCAL de administradores do servidor do NetWorker, não o exclua.
       

      Configurando as permissões de usuários externos do servidor do NetWorker:

      5. Conecte-se ao servidor do NetWorker a partir do NMC e abra Server-->User Groups. Digite o Nome distinto (DN) de um grupo do AD/LDAP no campo External roles das propriedades da função Application Administrators. Para usuários que precisam das mesmas permissões de nível que a conta padrão de administrador do NetWorker, especifique o DN do grupo do AD/LDAP na função Security Administrators.
      Configurando grupos de usuários nsr com usuários ou grupos externos
      Nota: Por padrão, já existe o DN do grupo LOCAL de administradores do servidor do NetWorker, não o exclua.
       
      Outra opção é usar o método de script nsraddadmin para fazer isso para usuários/grupos externos que devem ter direitos totais de administrador do NetWorker: 
      nsraddadmin -e "USER/GROUP_DN"
      Exemplo: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Acessar o NMC:
      Você deve ter acesso ao NMC e ao servidor do NetWorker com os usuários externos que receberam permissão para acessá-los.
      fazendo log-in como um usuário externo
      Após a conexão, o usuário é exibido no canto superior direito do NMC:
      NMC mostrando o usuário do AD

      Permissões adicionais de segurança

      6. (OPCIONAL) Se você quiser que um grupo do AD/LDAP possa gerenciar autoridades externas, deverá realizar as ações abaixo no servidor do NetWorker.
       
      A. Abra um Prompt de comando root/administrador.
      B. Usando o DN do grupo do AD ao qual você deseja conceder a permissão FULL_CONTROL, execute: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Exemplo: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Additional Information

      Para obter mais informações, consulte o Guia de configuração de segurança do NetWorker, disponível em: https://www.dell.com/support/home/product-support/product/networker/docs

      Valores de configuração:

      Server Type Selecione "LDAP" se o servidor de autenticação for um servidor LDAP Linux/UNIX e "Active Directory" se você estiver usando um servidor do Microsoft Active Directory.
      Authority Name Informe um nome para essa autoridade de autenticação externa. Você pode inserir o nome que preferir; ele serve apenas para diferenciar entre outras autoridades quando há várias configuradas.
      Provider Server Name Esse campo deve conter o nome de domínio completo (FQDN) do servidor AD ou LDAP.
      Tenant É possível usar grupos de usuários em ambientes onde é possível usar mais de um método de autenticação ou onde se deve configurar várias autoridades. Por padrão, o grupo de usuários "padrão" é selecionado. O uso de grupos de usuários altera o método de log-in. Faça log-in no NMC com "domain\user" para o grupo de usuários padrão ou com "tenant\domain\user" para outros grupos de usuários.
      Domain Especifique o nome de domínio completo (com exceção de um nome de host). Normalmente, esse é o DN de base, que consiste nos valores de componente de domínio (DC) de seu domínio. 
      Número da porta Para integração a LDAP e AD, use a porta 389. Para LDAP via SSL, use a porta 636.
      Essas portas não são padrão do NetWorker no servidor AD/LDAP.
      User DN Especifique o nome distinto (DN) de uma conta de usuário que tenha acesso total de leitura ao diretório LDAP ou AD.
      Especifique o DN relativo da conta de usuário ou o DN completo, caso ele vá substituir o valor definido no campo "Domain".
      User DN Password Especifique a senha da conta de usuário especificada.
      Group Object Class A classe de objeto que identifica grupos na hierarquia do LDAP ou AD.
      • Para LDAP, use groupOfUniqueNames ou groupOfNames 
        Nota: Existem outras classes de objeto de grupo além de groupOfUniqueNames e groupOfNames.  Use qualquer classe de objeto configurada no servidor LDAP.
      • Para AD, use group
      Group Search Path É possível deixar esse campo em branco; nesse caso, authc pode consultar o domínio completo. Para que esses usuários/grupos possam fazer log-in no NMC e gerenciar o servidor do NetWorker, o NMC/NetWorker deve obter as permissões necessárias. Especifique o caminho relativo para o domínio, em vez do DN completo.
      Group Name Attribute O atributo que identifica o nome do grupo. Por exemplo, cn
      Group Member Attribute A associação de grupo do usuário em um grupo
      • Para LDAP:
        • Quando "Group Object Class" é groupOfNames, o atributo geralmente é member.
        • Quando "Group Object Class" é groupOfUniqueNames, o atributo geralmente é uniquemember.
      •  Para AD, o valor geralmente é member.
      User Object Class A classe de objeto que identifica os usuários na hierarquia do LDAP ou do AD.
      Por exemplo, inetOrgPerson ou user
      User Search Path Assim como "Group Search Path", é possível deixar esse campo em branco; nesse caso, authc pode consultar o domínio completo. Especifique o caminho relativo para o domínio, em vez do DN completo.
      User ID Attribute O ID do usuário que está associado ao objeto do usuário na hierarquia do AD ou LDAP.
      • Para LDAP, esse atributo geralmente é uid.
      • Para AD, esse atributo geralmente é sAMAccountName.

      Outros artigos relevantes:

      Affected Products

      NetWorker
      Article Properties
      Article Number: 000156132
      Article Type: How To
      Last Modified: 17 Jun 2025
      Version:  14
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.