NetWorker: NWUI(NetWorker Web User Interface)에서 "AD over SSL"(LDAPS)을 구성하는 방법

SSL 인증을 구성하려면 루트 CA(또는 CA 체인)를 NetWorker의 authc 서버에서 사용하는 cacerts 파일로 가져옵니다. 단일 NetWorker 서버 환경에서는 서버가 인증 서버입니다. 대규모 데이터 존에서는 하나의 authc 서버가 여러 서버의 주 인증 서버가 될 수 있습니다. authc 서버 식별에 대한 지침은 추가 정보 필드를 참조하십시오.

SSL을 사용하도록 AUTHC 구성

Linux NetWorker 서버:

1. NetWorker authc 서버에 대한 SSH 세션을 엽니다.
2. 루트로 전환합니다.

$ sudo su -

3. OpenSSL을 사용하여 도메인 서버에서 CA 인증서(또는 인증서 체인)를 가져옵니다.

# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• 단일 인증서: 인증서(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 포함)를 복사하고 선택한 위치에 있는 RCAcert.crt라는 파일에 넣습니다.
• 인증서 체인: 각 인증서(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 포함)를 복사하여 개별 파일에 넣습니다. 예를 들어 ICA3cert.crt, ICA2cert.crt, ICA1cert.crt에 넣고 마지막으로 RCAcert.crt에 넣습니다.

4. 프로세스를 용이하게 하려면 다음 명령줄 변수를 설정합니다.

# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.

[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#

5. 인증서를 가져옵니다.

# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit

# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit

6. NetWorker 서버 서비스를 재시작합니다. 서비스를 재시작하면 authc 시작 중에 cacerts 파일이 다시 로드됩니다. 인증서를 가져온 후 NetWorker 서비스를 재시작하지 않으면 NetWorker에서 외부 기관을 구성하는 프로세스가 실패하고 인증서 관련 오류가 발생합니다.

# nsr_shutdown
# systemctl start networker

Windows NetWorker 서버:

1. 관리자 명령 프롬프트를 엽니다.
2. 다음 변수를 설정합니다.

set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.

C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>

3. OpenSSL을 사용하여 도메인 서버에서 CA 인증서(또는 인증서 체인)를 가져옵니다.

%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• 단일 인증서: 인증서(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 포함)를 복사하고 선택한 위치에 있는 RCAcert.crt라는 파일에 넣습니다. 
• 인증서 체인: 각 인증서(-----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- 포함)를 복사하여 개별 파일에 넣습니다. 예를 들어 ICA3cert.crt, ICA2cert.crt, ICA1cert.crt에 넣고 마지막으로 RCAcert.crt에 넣습니다. 

4. 루트 CA 및 중간 인증서(사용되는 경우)에 대한 명령줄 변수를 설정합니다.

set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"

C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"

5. 인증서를 가져옵니다.

%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit

%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit

6. NetWorker 서버 서비스를 재시작합니다. 서비스를 재시작하면 authc 시작 중에 cacerts 파일이 다시 로드됩니다. 인증서를 가져온 후 NetWorker 서비스를 재시작하지 않으면 NetWorker에서 외부 기관을 구성하는 프로세스가 실패하고 인증서 관련 오류가 발생합니다.

net stop nsrd
net start nsrd

NWUI에서 "AD over SSL" 외부 기관 리소스 생성

1. 웹 브라우저에서 NWUI 서버 https://nwui-server-name:9090/nwui에 액세스합니다.
2. NetWorker 관리자 계정을 사용하여 로그인합니다.
3. 메뉴에서 인증 서버를 확장하고 외부 기관을 클릭합니다.
4. 외부 기관에서 Add+를 클릭합니다.
5. 구성 필드를 채웁니다.

6. 완료되면 save를 클릭합니다.
7. 이제 구성된 외부 기관 리소스에 대한 요약이 표시됩니다.

8. Server > User Groups 메뉴에서 AD/LDAP 그룹 또는 사용자에게 위임할 권한이 포함된 사용자 그룹을 편집합니다. 전체 관리자 권한을 부여하려면 Application Administrators 및 Security Administrators 역할의 External Roles 필드에 AD 그룹/사용자 DN을 지정합니다.

예: CN=NetWorker_Admins,DC=amer,DC=lan

이 작업은 명령줄에서 수행할 수도 있습니다.

nsraddadmin -e "Distinguished_Name"

nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

9. AD 그룹 또는 사용자 DN이 지정되었으면 Save를 클릭합니다. 
10. NWUI 인터페이스에서 로그아웃하고 AD 계정을 사용하여 다시 로그인합니다.

11. 오른쪽 상단 모서리에 있는 사용자 아이콘은 로그인한 사용자 계정을 나타냅니다.

NetWorker 인증에 사용되는 AUTHC 서버 확인
NMC(NetWorker Management Console) 서버의 gstd.conf 파일에는 로그인 요청을 처리하는 데 사용되는 호스트가 표시됩니다.

Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

파일에서 authsvc_hostname 값을 확인합니다. authsvc_hostname은 authc(인증) 서버입니다.

AD 그룹 구성원 자격을 확인하고 NetWorker 사용 권한에 필요한 DN(Distinguished Name) 값을 가져오는 방법:
authcmgmt 명령을 NetWorker 서버에서 사용하여 AD/LDAP 그룹/사용자가 표시되는지 확인합니다.

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username

예:

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

• NetWorker: authc_config 스크립트를 사용하여 LDAP/AD를 설정하는 방법
• NetWorker: AD/LDAP 인증을 설정하는 방법
• NetWorker: 관리자 암호를 재설정하는 방법
• NetWorker: LDAPS 통합이 실패하고 "LDAPS 서버에 연결을 시도하는 동안 SSL 핸드셰이크 오류가 발생했습니다. 요청된 타겟에 대한 유효한 인증 경로를 찾을 수 없습니다."
• NetWorker: "Authc" 및 "NWUI"에 대해 인증 기관에서 서명한 인증서를 가져오거나 교체하는 방법(Linux)
• NetWorker: "Authc" 및 "NWUI"에 대해 인증 기관에서 서명한 인증서를 가져오거나 교체하는 방법(Windows)