NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)

Summary: 本 KB 詳細說明從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS) 所需的程序。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

若要設定 SSL 驗證,請將根 CA (或 CA 鏈) 匯入 NetWorker 的 authc 伺服器所使用的 cacerts 檔案。在單一 NetWorker 伺服器環境中,伺服器是驗證伺服器;在較大的資料區域中,一部 authc 伺服器可以是多部伺服器的主要驗證伺服器。如需有關識別 authc 伺服器的指示,請參閱其他資訊欄位。


設定 AUTHC 以使用 SSL

Linux NetWorker 伺服器:

  1. 將 SSH 工作階段開啟至 NetWorker authc 伺服器。
  2. 切換至 root:
$ sudo su -
  1. 使用 OpenSSL 從網域伺服器取得 CA 憑證 (或憑證鏈):
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 憑證包含在 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 內。如果使用鏈憑證,則列出第一個憑證所在的多個憑證是中繼憑證,而列出最後一個憑證的是根 CA。
  • 單一憑證:複製包含 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 的憑證,然後將其放入您選擇的位置中名為 RCAcert.crt 的檔案中。
  • 憑證鏈:複製每個憑證 (包括其 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 欄位),並將其放入個別檔案中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最後是 RCAcert.crt。
  1. 為了協助簡化該程序,請設定以下命令列變數:
# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
範例: 
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#
  1. 匯入憑證:
A. 使用憑證鏈時,匯入鏈中導向根憑證 (RCA) 的每個憑證。 如果僅使用單一根 CA,請匯入根 CA。 
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
系統會提示您接受憑證進入 cacerts 金鑰存放區。 

B. 如果您收到重複別名 (之前的已過期憑證) 的警示,請刪除別名相同的現有憑證: 
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
移除舊憑證後重複步驟 A。
  1. 重新啟動 NetWorker 伺服器服務。重新啟動服務會在 authc 啟動期間重新載入 cacerts 檔案。如果 NetWorker 服務在匯入憑證後未重新啟動,則在 NetWorker 中設定外部授權單位的程序會失敗,並顯示憑證相關錯誤。
# nsr_shutdown
# systemctl start networker


Windows NetWorker 伺服器:


注意:使用 OpenSSL 連線至網域伺服器,並取得 AD over SSL 所需的 CA 憑證 (或鏈)。Windows 伺服器預設不包含 OpenSSL;但是,它是可以安裝的。或者,網域系統管理員可以提供 CA 憑證 (如果使用,則可以提供鏈),而不是使用 OpenSSL。必須以 PEM 格式提供這些項目。直接從驗證伺服器使用 OpenSSL 是偏好的方法。 
  1. 開啟系統管理員命令提示字元。
  2. 設定下列變數:
set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
範例: 
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>
  1. 使用 OpenSSL 從網域伺服器取得 CA 憑證 (或憑證鏈):
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 憑證包含在 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 內。如果使用鏈憑證,則會出現多個憑證:第一個是中繼憑證,最後一個是根 CA。 
  • 單一憑證:複製包含 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 的憑證,然後將其放入您選擇的位置中名為 RCAcert.crt 的檔案中。 
  • 憑證鏈:複製每個憑證 (包括其 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 欄位),並將其放入個別檔案中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最後是 RCAcert.crt。 
  1. 為根 CA 和任何中繼憑證設定命令列變數 (若使用):
set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"
範例: 
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
  1. 匯入憑證:
A. 使用憑證鏈時,匯入鏈中導向 RCA 的每個憑證。如果僅使用單一根 CA,請匯入根 CA。 
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
系統會提示您接受憑證進入 cacerts 金鑰存放區。 
B. 如果您收到重複別名 (之前的已過期憑證) 的警示,請刪除別名相同的現有憑證: 
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
移除舊憑證後重複步驟 A。
  1. 重新啟動 NetWorker 伺服器服務。重新啟動服務會在 authc 啟動期間重新載入 cacerts 檔案。如果 NetWorker 服務在匯入憑證後未重新啟動,則在 NetWorker 中設定外部授權單位的程序會失敗,並顯示憑證相關錯誤。
net stop nsrd
net start nsrd


從 NWUI 建立「AD over SSL」外部授權單位資源。

  1. 從網頁瀏覽器存取 NWUI 伺服器:https://nwui-server-name:9090/nwui
  2. 使用 NetWorker 系統管理員帳戶登入。
  3. 從功能表中展開驗證伺服器,然後按一下外部授權單位
  4. 在「外部授權單位」中,按一下新增+
  5. 填入組態欄位:
基本組態
 
欄位
名稱
描述名稱,LDAP 或 AD 組態中不含空格。最大字元數為 256。僅在組態名稱中指定 ASCII 字元。
伺服器類型
AD over SSL
供應商伺服器名稱 
指定 Active Directory 伺服器的主機名稱或 IP 位址
連接埠
連接埠 636 用於 SSL,如果選取「AD over SSL」,則應會自動填入此欄位。
租戶
選取租戶 (若已設定)。若未設定或不需要租戶,則可以使用「預設」。
設定租戶需要下列登入語法「tenant_name\domain_name\user_name」。如果使用預設租戶 (通用),則登入語法為「domain_name\user_name」。

租戶 - NetWorker 驗證服務的頂層組織容器。會將本機資料庫中的每個外部驗證授權單位都指派給租戶。租戶可以包含一或多個網域,但網域名稱在租戶中必須是唯一的。NetWorker 驗證服務會建立一個內建租戶名稱 Default,其中包含預設網域。建立多個租戶有助於管理複雜的組態。例如,具有受限制的資料區 (RDZ) 的服務提供者可以建立多個租戶,以為租戶使用者提供隔離的資料保護服務。
網域
完整的網域名稱,包括所有 DC 值;例如:example.com
使用者 DN
為對 AD 目錄具有完整讀取存取權的使用者帳戶指定完整辨別名稱 (DN)
使用者 DN 密碼
指定用於存取和讀取 AD direct 的使用者帳戶密碼
 
進階組態
 
群組物件類別
需要。識別 LDAP 或 AD 階層中群組的物件類別。
● 對於 LDAP,請使用 groupOfUniqueNames groupOfNames
● 對於 AD,請使用 group
群組搜尋路徑 (選用)
指定驗證服務在 LDAP 或 AD 階層中搜尋群組時應使用之搜尋路徑的 DN。
群組名稱屬性
識別群組名稱的屬性;例如,cn。
群組成員屬性
使用者在群組中的群組成員資格:
● 對於 LDAP:
○ 當群組物件類別是 groupOfNames 時,該屬性通常是 member
○ 當群組物件類別是 groupOfUniqueNames 時,該屬性通常是 uniquemember
● 對於 AD,該值通常是 member
使用者物件類別
識別 LDAP 或 AD 階層中使用者的物件類別。例如,person
使用者搜尋路徑 (選用)
指定驗證服務在 LDAP 或 AD 階層中搜尋使用者時應使用之搜尋路徑的 DN。指定相對於您在 configserver-address 選項中指定之基本 DN 的搜尋路徑。例如,對於 AD,請指定 cn=users
使用者 ID 屬性
與 LDAP 或 AD 階層中使用者物件相關聯的使用者 ID。
對於 LDAP,此屬性通常是 uid
對於 AD,此屬性通常是 sAMAccountName

注意:若要確認您的環境需要哪些 AD/LDAP 特定欄位,請向您的 AD/LDAP 管理員洽詢。
 

 

  1. 完成後,按一下儲存
  2. 現在應會出現所設定的外部授權單位資源摘要:

組態範例

  1. 伺服器 > 使用者群組功能表中,編輯包含您要委派給 AD/LDAP 群組或使用者之權限的使用者群組。例如,若要授予完整的系統管理員權限,請在應用程式管理員安全性管理員角色的「外部角色」欄位中指定 AD 群組/使用者 DN。

例如,CN=NetWorker_Admins,DC=amer,DC=lan

編輯應用程式管理員

這也可以從命令列完成:

nsraddadmin -e "Distinguished_Name"
範例: 
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

 

  1. 指定 AD 群組或使用者 DN 後,按一下儲存。 
  2. 登出 NWUI 介面,然後使用 AD 帳戶重新登入:

登入 NWUI 介面

  1. 右上角的使用者圖示指示已登入哪個使用者帳戶。

Additional Information

確認用於 NetWorker 驗證的 AUTHC 伺服器
NetWorker Management Console (NMC) 伺服器的 gstd.conf 檔案會顯示用於處理登入要求的主機:

Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

檢查檔案的 authsvc_hostname 值。authsvc_hostname 是 authc (驗證) 伺服器。

如何檢查 AD 群組成員資格並取得 NetWorker 權限所需的辨別名稱 (DN) 值:
您可以在 NetWorker 伺服器上使用 authcmgmt 命令,以確認可以看到 AD/LDAP 群組/使用者:

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
範例:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

注意:在某些系統上, authc 命令可能會失敗並顯示「密碼不正確」錯誤,即使提供了正確的密碼也是如此。這是因為密碼使用 -p 選項指定為可見的文字。如果您遇到這種情況,請從命令移除 -p password 。執行命令後,系統會提示您輸入隱藏的密碼。


其他相關文章:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.