NetWorker：NetWorker Webユーザー インターフェイス(NWUI)から「AD over SSL」(LDAPS)を設定する方法

SSL認証を設定するには、NetWorkerのauthcサーバーが使用するcacertsファイルにルートCA（またはCAチェーン）をインポートします。単一のNetWorkerサーバー環境では、サーバーが認証サーバーとなります。大規模なデータゾーンでは、1つの認証サーバーが複数のサーバーのプライマリー認証サーバーとして機能することができます。認証サーバーを識別する手順については、［追加情報］フィールドを参照してください。

SSLを使用するためのAUTHCの設定

Linux NetWorkerサーバー：

1. NetWorker authcサーバーへのSSHセッションを開きます。
2. rootに切り替えます。

$ sudo su -

3. OpenSSLを使用して、ドメイン サーバーからCA証明書（または証明書チェーン）を取得します。

# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• 単一の証明書：-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----を含む証明書をコピーし、選択した場所にあるRCAcert.crtという名前のファイルに配置します。
• 証明書チェーン：各証明書（［-----BEGIN CERTIFICATE-----］フィールドと［-----END CERTIFICATE-----］フィールドを含む）をコピーし、個々のファイルに配置します。たとえば、ICA3cert.crt、ICA2cert.crt、ICA1cert.crt、最後にRCAcert.crtのようになります。

4. プロセスを容易にするために、次のコマンドライン変数を設定します。

# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.

[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#

5. 証明書をインポートします。

# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit

# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit

6. NetWorkerサーバー サービスを再起動します。サービスを再起動すると、authcの起動中にcacertsファイルが再ロードされます。証明書のインポート後にNetWorkerサービスを再起動しないと、NetWorkerで外部認証機関を設定するプロセスは証明書関連のエラーで失敗します。

# nsr_shutdown
# systemctl start networker

Windows NetWorkerサーバー：

1. 管理者のコマンド プロンプトを開きます。
2. 次の変数を設定します。

set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.

C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>

3. OpenSSLを使用して、ドメイン サーバーからCA証明書（または証明書チェーン）を取得します。

%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• 単一の証明書：-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----を含む証明書をコピーし、選択した場所にあるRCAcert.crtという名前のファイルに配置します。 
• 証明書チェーン：各証明書（［-----BEGIN CERTIFICATE-----］フィールドと［-----END CERTIFICATE-----］フィールドを含む）をコピーし、個々のファイルに配置します。たとえば、ICA3cert.crt、ICA2cert.crt、ICA1cert.crt、最後にRCAcert.crtのようになります。 

4. ルートCAと中間証明書（該当する場合）のコマンドライン変数を設定します。

set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"

C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"

5. 証明書をインポートします。

%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit

%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit

6. NetWorkerサーバー サービスを再起動します。サービスを再起動すると、authcの起動中にcacertsファイルが再ロードされます。証明書のインポート後にNetWorkerサービスを再起動しないと、NetWorkerで外部認証機関を設定するプロセスは証明書関連のエラーで失敗します。

net stop nsrd
net start nsrd

NWUIから「AD over SSL」外部認証機関リソースを作成する

1. Webブラウザーから、NWUIサーバー(https://nwui-server-name:9090/nwui)にアクセスします。
2. NetWorker管理者アカウントを使用してログインします。
3. メニューから［Authentication Server］を展開し、［External Authorities］をクリックします。
4. ［External Authorities］から、［Add+］をクリックします。
5. 設定フィールドに入力します。

6. 完了したら、［save］をクリックします。
7. 設定済みの外部認証機関リソースの概要が表示されます。

8. ［Server］＞［User Groups］メニューから、AD/LDAPグループまたはユーザーに委任する権限を含むユーザー グループを編集します。完全な管理者権限を付与するには、［Application Administrators］ロールおよび［Security Administrators］ロールの［External Roles］フィールドにADグループ/ユーザーのDNを指定します。

例：CN=NetWorker_Admins,DC=amer,DC=lan

これはコマンド ラインからも実行できます。

nsraddadmin -e "Distinguished_Name"

nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

9. ADグループまたはユーザーのDNを指定したら、［Save］をクリックします。 
10. NWUIインターフェイスからログアウトし、ADアカウントを使用して再度ログインします。

11. 右上隅のユーザー アイコンは、サイン インしているユーザー アカウントを示します。

NetWorker認証に使用されるAUTHCサーバーを確認する
NetWorker Management Console (NMC)サーバーのgstd.confファイルには、ログイン要求の処理に使用されるホストが次のように表示されます。

Linuxの場合 /opt/lgtonmc/etc/gstd.conf
Windowsの場合： C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

ファイルでauthsvc_hostname値を確認します。authsvc_hostnameはauthc（認証）サーバーです。

ADグループ メンバーシップを確認し、NetWorker権限に必要な識別名(DN)値を取得する方法：
NetWorkerサーバーで authcmgmt コマンドを使用して、AD/LDAPグループ/ユーザーが表示されることを確認します。

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username

Example:

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

• NetWorker：authc_configスクリプトを使用してLDAP/ADをセットアップする方法
• NetWorker：AD/LDAP認証を設定する方法
• NetWorker：管理者パスワードをリセットする方法
• NetWorker：LDAPSの統合が失敗し、「AN SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target」
• NetWorker：「authc」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法
• NetWorker：「Authc」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法(Windows)