NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)
Summary: 本知识库文章详细介绍了从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS) 所需的过程。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
要配置 SSL 身份验证,请将根 CA(或 CA 链)导入到 NetWorker 的 authc 服务器使用的 cacerts 文件中。在单 NetWorker 服务器环境中,服务器是身份验证服务器;在较大的数据区中,一台 authc 服务器可以作为多台服务器的身份验证主服务器。有关识别 authc 服务器的说明,请参阅其他信息字段。
配置 AUTHC 以使用 SSL
Linux NetWorker 服务器:
- 打开与 NetWorker authc 服务器的 SSH 会话。
- 切换到 root:
$ sudo su -
- 使用 OpenSSL 从域服务器获取 CA 证书(或证书链):
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 证书在 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 内。如果使用链证书,则在列出的多个证书中,第一个证书是中间证书,最后一个证书是根 CA。
- 单一证书:复制证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----),并将其放入名为 RCAcert.crt 的文件中,该文件位于您选择的位置。
- 证书链:复制每个证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 字段),并将其放入不同的文件中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最后是 RCAcert.crt。
- 为了帮助简化该过程,请设置以下命令行变量:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
示例:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- 导入证书:
A. 使用证书链时,导入链中的每个证书,直至根证书 (RCA)。 如果仅使用一个根 CA,请导入该根 CA。
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
系统将提示您在 cacerts 密钥库中接受证书。
B. 如果您收到重复别名(以前的过期证书)的警报,请删除具有相同别名的现有证书:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
删除旧证书后,重复步骤 A。
- 重新启动 NetWorker 服务器服务。重新启动服务会在 authc 启动期间重新加载 cacerts 文件。如果在导入证书后未重新启动 NetWorker 服务,则在 NetWorker 中配置外部机构的过程将失败,并显示与证书相关的错误。
# nsr_shutdown # systemctl start networker
Windows NetWorker 服务器:
提醒:使用 OpenSSL 连接到域服务器,并获取 AD over SSL 所需的 CA 证书(或链)。默认情况下,Windows 服务器不包含 OpenSSL,但您可以安装它。或者,域管理员可以提供 CA 证书(以及链,如果使用),而不使用 OpenSSL。必须以 PEM 格式提供。直接从身份验证服务器使用 OpenSSL 是首选方法。
- 打开管理员命令提示符。
- 设置以下变量:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
示例:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- 使用 OpenSSL 从域服务器获取 CA 证书(或证书链):
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 证书在 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 内。如果使用链证书,则会显示多个证书:第一个是中间证书,最后一个是根 CA。
- 单一证书:复制证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----),并将其放入名为 RCAcert.crt 的文件中,该文件位于您选择的位置。
- 证书链:复制每个证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 字段),并将其放入不同的文件中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最后是 RCAcert.crt。
- 为根 CA 和任何中间证书(如果使用)设置命令行变量:
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
示例:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- 导入证书:
A. 使用证书链时,导入链中的每个证书,直至 RCA。如果仅使用一个根 CA,请导入该根 CA。
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
系统将提示您在 cacerts 密钥库中接受证书。
B. 如果您收到重复别名(以前的过期证书)的警报,请删除具有相同别名的现有证书:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
删除旧证书后,重复步骤 A。
- 重新启动 NetWorker 服务器服务。重新启动服务会在 authc 启动期间重新加载 cacerts 文件。如果在导入证书后未重新启动 NetWorker 服务,则在 NetWorker 中配置外部机构的过程将失败,并显示与证书相关的错误。
net stop nsrd net start nsrd
从 NWUI 创建“AD over SSL”外部机构资源。
- 从 Web 浏览器访问 NWUI 服务器:https://nwui-server-name:9090/nwui
- 使用 NetWorker 管理员账户登录。
- 在菜单中,展开 Authentication Server,然后单击 External Authorities。
- 在 External Authorities 中,单击 Add+。
- 填充配置字段:
基本配置
|
Field
|
值
|
|
名称
|
LDAP 或 AD 配置的描述性名称(不含空格)。最大字符数为 256。配置名称仅使用 ASCII 字符。
|
|
服务器类型
|
AD over SSL
|
|
提供商服务器名称
|
指定 Active Directory 服务器的主机名或 IP 地址
|
|
端口
|
端口 636 用于 SSL,如果选择了“AD over SSL”,此字段应自动填充。
|
|
租户
|
选择租户(如果已配置)。如果未配置租户或不需要租户,则可以使用“default”。
配置租户需要以下登录语法“tenant_name\domain_name\user_name”。如果使用默认租户(通用),则登录语法为“domain_name\user_name”。 租户是 NetWorker 身份验证服务的顶层组织容器。本地数据库中的每个外部身份验证机构都会分配给一个租户。一个租户可以包含一个或多个域,但域名在租户内必须是唯一的。NetWorker 身份验证服务将创建一个集成租户名称 Default,其中包含 Default 域。创建多个租户可帮助您管理复杂的配置。例如,具有受限数据区 (RDZ) 的服务提供商可以创建多个租户,以便为租户用户提供隔离的数据保护服务。 |
|
域
|
完整域名,包括所有 DC 值;例如:example.com
|
|
User DN
|
指定对 AD 目录具有完整读取权限的用户账户的完整可分辨名称 (DN)
|
|
User DN Password
|
指定用于访问和读取 AD Direct 的用户账户密码
|
高级配置
|
组对象类
|
必填。在 LDAP 或 AD 层次结构中标识组的对象类。
● 对于 LDAP,请使用 groupOfUniqueNames 或 groupOfNames ● 对于 AD,请使用 group |
|
组搜索路径(可选)
|
指定身份验证服务在 LDAP 或 AD 层次结构中搜索组时应使用的搜索路径的 DN。
|
|
组名称属性
|
标识组名称的属性;例如,cn。
|
|
组成员属性
|
组中用户的组成员身份:
● 对于 LDAP:
○ 当组对象类为 groupOfNames 时,该属性通常为 member。
○ 当组对象类为 groupOfUniqueNames 时,该属性通常为 uniquemember。
● 对于 AD,该值通常为 member。
|
|
用户对象类
|
在 LDAP 或 AD 层次结构中标识用户的对象类。例如,person。
|
|
用户搜索路径(可选)
|
指定身份验证服务在 LDAP 或 AD 层次结构中搜索用户时应使用的搜索路径的 DN。指定相对于您在 configserver-address 选项中指定的基本 DN 的搜索路径。例如,对于 AD,指定 cn=users。
|
|
用户 ID 属性
|
与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
对于 LDAP,此属性通常为 uid。 对于 AD,此属性通常为 sAMAccountName。 |
提醒:请咨询您的 AD/LDAP 管理员,以确认您的环境需要哪些 AD/LDAP 专用字段。
- 完成后,单击 Save。
- 现在应显示已配置的外部机构资源的摘要:
- 从 Server > User Groups 菜单,编辑包含要委派给 AD/LDAP 组或用户的权限的用户组。要授予完整的管理员权限,请在应用程序管理员和安全管理员角色的 External Roles 字段中指定 AD 组/用户 DN。
例如,CN=NetWorker_Admins,DC=amer,DC=lan
这可以从命令行来完成:
nsraddadmin -e "Distinguished_Name"
示例:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- 指定 AD 组或用户 DN 后,单击 Save。
- 从 NWUI 界面退出登录,然后使用 AD 账户重新登录:
- 右上角的用户图标指示登录的用户账户。
Additional Information
确认用于 NetWorker 身份验证的 AUTHC 服务器
NetWorker Management Console (NMC) 服务器的 gstd.conf 文件显示用于处理登录请求的主机:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
在文件中查找 authsvc_hostname 值。Authsvc_hostname 是 authc(身份验证)服务器。
如何查看 AD 组成员身份并获取 NetWorker 权限所需的可分辨名称 (DN) 值:
您可以在 NetWorker 服务器上使用 authcmgmt 命令确认 AD/LDAP 组/用户可见:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
示例:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
提醒:在某些系统上,即使提供了正确的密码,
authc 命令也可能失败并显示“incorrect password”错误。这是因为使用了 -p 选项将密码指定为可见文本。如果您遇到此问题,请从命令中删除 -p password 。运行命令后,系统将提示您输入隐藏的密码。
其他相关文章:
- NetWorker:如何使用 authc_config 脚本设置 LDAP/AD
- NetWorker:如何设置 AD/LDAP 验证
- NetWorker:如何重置管理员密码
- NetWorker:LDAPS 集成失败,并显示“An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target”
- NetWorker:如何导入或更换“Authc”和“NWUI”的证书颁发机构签名证书 (Linux)
- NetWorker:如何导入或更换“Authc”和“NWUI”的证书颁发机构签名证书 (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.