NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Summary: Denne kunnskapsartikkelen inneholder informasjon om prosessen som kreves for å konfigurere "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI).
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Hvis du vil konfigurere SSL-godkjenning, importerer du rot-CA (eller CA-kjeden) til cacerts-filen som brukes av NetWorkers autorisasjonsserver. I enkeltmiljøer for NetWorker-servere er serveren godkjenningsserveren. I større datasoner kan én AUTC-server være den primære godkjenningsserveren for flere servere. Se feltet Tilleggsinformasjon for instruksjoner om hvordan du identifiserer AUTC-serveren.
Konfigurere AUTHC til å bruke SSL
Linux NetWorker-servere:
- Åpne en SSH-økt på NetWorker-autoritetsserveren.
- Bytt til rot:
$ sudo su -
- Bruk OpenSSL til å hente CA-sertifikatet (eller sertifikatkjeden) fra domeneserveren:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA-sertifikatet er omsluttet av -----BEGIN CERTIFICATE ----- og -----END CERTIFICATE-----. Hvis et kjedesertifikat brukes, er flere sertifikater der de første sertifikatene som er oppført, mellomliggende sertifikater, og det siste sertifikatet som er oppført, er rotsertifiseringsinstansen.
- Enkelt sertifikat: Kopier sertifikatet, inkludert -----BEGIN CERTIFICATE----- og -----END CERTIFICATE----- og legg det i en fil kalt RCAcert.crt på et sted du velger.
- Sertifikatkjede: Kopier hvert sertifikat (inkludert feltene -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----) og legg dem i individuelle filer. For eksempel ICA3cert.crt, ICA2cert.crt, ICA1cert.crt og til slutt RCAcert.crt.
- Hvis du vil forenkle prosessen, angir du følgende kommandolinjevariabler:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Eksempel:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Importer sertifikatene:
En. Når du bruker en sertifikatkjede, importerer du hvert sertifikat i kjeden som fører opp til rotsertifikatet (RCA). Hvis bare én enkelt rotsertifiseringsinstans brukes, importerer du rotsertifiseringsinstansen.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Du blir bedt om å godta sertifikatet i cacerts-nøkkellageret.
B. Hvis du blir varslet om et duplikatalias (forrige, utløpt sertifikat), sletter du det eksisterende sertifikatet med samme alias:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Gjenta trinn A etter at det gamle sertifikatet er fjernet.
- Start NetWorker-servertjenestene på nytt. Omstart av tjenester laster inn cacerts-filen på nytt under oppstart av AUTC. Hvis NetWorker-tjenester ikke startes på nytt etter at du har importert sertifikatene, mislykkes prosessen for å konfigurere den eksterne instansen i NetWorker med en sertifikatrelatert feil.
# nsr_shutdown # systemctl start networker
Windows NetWorker-servere:
MERK: Bruk OpenSSL til å koble til domeneserveren og hente CA-sertifikatet (eller kjeden) som kreves for AD over SSL. Windows-servere inkluderer ikke OpenSSL som standard; Det kan imidlertid installeres. Alternativt, i stedet for å bruke OpenSSL, kan domeneadministratoren oppgi CA-sertifikatet (og kjeden hvis den brukes). De må leveres i PEM-format. Bruk av OpenSSL direkte fra godkjenningsserveren er den foretrukne metoden.
- Åpne en administratorledetekst.
- Angi følgende variabler:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Eksempel:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Bruk OpenSSL til å hente CA-sertifikatet (eller sertifikatkjeden) fra domeneserveren:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA-sertifikatet er omsluttet av -----BEGIN CERTIFICATE ----- og -----END CERTIFICATE-----. Hvis et kjedesertifikat brukes, vises flere sertifikater: det første er mellomliggende sertifikater, og det siste er rotsertifiseringsinstansen.
- Enkelt sertifikat: Kopier sertifikatet, inkludert -----BEGIN CERTIFICATE----- og -----END CERTIFICATE----- og legg det i en fil kalt RCAcert.crt på et sted du velger.
- Sertifikatkjede: Kopier hvert sertifikat (inkludert feltene -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----) og legg dem i individuelle filer. For eksempel ICA3cert.crt, ICA2cert.crt, ICA1cert.crt og til slutt RCAcert.crt.
- Angi kommandolinjevariabler for rot-CA og eventuelle mellomliggende sertifikater (hvis brukt):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Eksempel:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Importer sertifikatene:
En. Når du bruker en sertifikatkjede, importerer du hvert sertifikat i kjeden som fører opp til RCA. Hvis bare én enkelt rotsertifiseringsinstans brukes, importerer du rotsertifiseringsinstansen.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Du blir bedt om å godta sertifikatet i cacerts-nøkkellageret.
B. Hvis du blir varslet om et duplikatalias (forrige, utløpt sertifikat), sletter du det eksisterende sertifikatet med samme alias:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Gjenta trinn A etter at det gamle sertifikatet er fjernet.
- Start NetWorker-servertjenestene på nytt. Omstart av tjenester laster inn cacerts-filen på nytt under oppstart av AUTC. Hvis NetWorker-tjenester ikke startes på nytt etter at du har importert sertifikatene, mislykkes prosessen for å konfigurere den eksterne instansen i NetWorker med en sertifikatrelatert feil.
net stop nsrd net start nsrd
Opprette "AD over SSL" ekstern autoritet ressurs fra NWUI.
- Gå til NWUI-serveren i en nettleser: https:// nwui-server-name:9090/nwui
- Logg på med NetWorker Administrator-kontoen.
- Fra menyen utvider du Godkjenningsserver og klikker på Eksterne myndigheter.
- Fra Eksterne myndigheter klikker du Legg til+.
- Fyll ut konfigurasjonsfeltene:
Basiskonfigurasjon
|
Felt
|
Value
|
|
Navn
|
Et beskrivende navn, uten mellomrom for LDAP- eller AD-konfigurasjonen. Maksimalt antall tegn er 256. Angi ASCII-tegn bare i konfigurasjonsnavnet.
|
|
Servertype
|
AD over SSL
|
|
Navn på leverandørserver
|
Angir vertsnavnet eller IP-adressen for Active Directory-serveren
|
|
Port
|
Port 636 brukes for SSL. Dette feltet skal fylles ut automatisk hvis "AD over SSL" er valgt.
|
|
Leieboer
|
Velg leieren hvis den er konfigurert. Hvis ingen leier er konfigurert eller nødvendig, kan du bruke "standard".
Konfigurasjon av en leier krever følgende påloggingssyntaks "tenant_name\domain_name\user_name." Hvis standardleieren brukes (vanlig), er påloggingssyntaksen "domain_name\user_name". Leier – organisasjonsbeholder på øverste nivå for NetWorker-godkjenningstjenesten. Hver ekstern godkjenningsinstans i den lokale databasen er tilordnet en leier. En leier kan inneholde ett eller flere domener, men domenenavnene må være unike i leieren. NetWorker Authentication Service oppretter ett integrert leietakernavn som inneholder standarddomenet. Oppretting av flere leiere hjelper deg med å administrere komplekse konfigurasjoner. Tjenesteleverandører med begrensede datasoner (RDZ) kan for eksempel opprette flere leiere for å gi isolerte databeskyttelsestjenester til leierbrukere. |
|
Domene
|
Det fullstendige domenenavnet inkludert alle DC-verdier; f.eks.: example.com
|
|
Bruker DN
|
Angir det fullstendige unike navnet (DN) på en brukerkonto som har full lesetilgang til AD-katalogen
|
|
DN-passord for bruker
|
Angir passordet for brukerkontoen som brukes til å få tilgang til og lese AD direkte
|
Avansert konfigurasjon
|
Objektklasse for gruppe
|
Påkrevd. Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet.
● For LDAP bruker du groupOfUniqueNames eller groupOfNames ● For AD bruker du group |
|
Gruppesøkebane (valgfritt)
|
En DN som angir søkebanen som godkjenningstjenesten skal bruke ved søk etter grupper i LDAP- eller AD-hierarkiet.
|
|
Attributt for gruppenavn
|
Attributtet som identifiserer gruppenavnet; For eksempel cn.
|
|
Attributt for gruppemedlem
|
Gruppemedlemskapet til brukeren i en gruppe:
● For LDAP:
○ Når gruppeobjektklassen er groupOfNames , er attributtet vanligvis medlem.
○ Når gruppeobjektklassen er groupOfUniqueNames , er attributtet vanligvis uniquemember.
● For AD er verdien vanligvis medlem.
|
|
Brukerobjektklasse
|
Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet. For eksempel person.
|
|
Brukersøkebane (valgfritt)
|
DN som angir søkebanen som godkjenningstjenesten skal bruke ved søk etter brukere i LDAP- eller AD-hierarkiet. Angi en søkebane som er relativ til base-DN-en du angav i alternativet configserver-address . For AD angir du for eksempel cn=users.
|
|
User ID Attribute
|
Bruker-ID-en som er knyttet til brukerobjektet i LDAP- eller AD-hierarkiet.
For LDAP er dette attributtet vanligvis UID. For AD er dette attributtet vanligvis sAMAccountName. |
MERK: Rådfør deg med AD/LDAP-administratoren for å bekrefte hvilke AD/LDAP-spesifikke felt som er nødvendige for miljøet ditt.
- Når du er ferdig, klikker du lagre.
- Et sammendrag av den konfigurerte eksterne autoritetsressursen skal nå vises:
- Rediger brukergruppene som inneholder rettighetene du vil delegere til AD/LDAP-grupper eller -brukere, fra Serverbrukergrupper-menyen>. Hvis du vil gi fullstendige administratorrettigheter, angir du AD-gruppen/bruker-DN i feltet Eksterne roller i rollene Programadministratorer og sikkerhetsadministratorer .
for eksempel CN=NetWorker_Admins,DC=amer,DC=LAN
Dette kan også gjøres fra kommandolinjen:
nsraddadmin -e "Distinguished_Name"
Eksempel:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Når AD-gruppen eller bruker-DN-ene er angitt, klikker du på Lagre.
- Logg av NWUI-grensesnittet og logg på igjen med AD-kontoen:
- Brukerikonet øverst til høyre angir hvilken brukerkonto som er logget på.
Additional Information
Bekrefte AUTC-serveren som brukes til NetWorker-godkjenning
NetWorker Management Console (NMC)-serverens gstd.conf-fil viser hvilken vert som brukes til å behandle påloggingsforespørsler:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Kontroller filen for authsvc_hostname verdi. Den authsvc_hostname er authc (autentisering) server.
Slik kontrollerer du AD-gruppemedlemskap og får DN-verdiene (Distinguished Name) som kreves for NetWorker-tillatelser:
Du kan bruke authcmgmt på NetWorker-serveren for å bekrefte at AD/LDAP-gruppene/brukerne er synlige:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Eksempel:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
MERK: På noen systemer vil
authc Kommandoer kan mislykkes med feilmeldingen "Feil passord" selv når riktig passord er angitt. Dette skyldes at passordet er angitt som synlig tekst med -p -alternativet. Hvis du støter på dette, fjern -p password fra kommandoene. Du blir bedt om å skrive inn passordet som er skjult etter å ha kjørt kommandoen.
Andre relevante artikler:
- NetWorker: Slik konfigurerer du LDAP/AD ved hjelp av authc_config-skript
- NetWorker: Slik konfigurerer du AD/LDAP-autentisering
- NetWorker: Slik tilbakestiller du administratorpassordet
- NetWorker: LDAPS-integrering mislykkes med «Det oppstod en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-tjeneren: Finner ikke gyldig sertifiseringsbane til forespurt mål"
- NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Linux)
- NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.