NetWorker: Så här använder du authc_config skript för att konfigurera LDAPS-autentisering
Summary: Allmän översikt över konfiguration av AD/LDAP-autentisering över LDAPS med netWorker-authc_config skript. Detta kan även användas vid uppgradering/konvertering av en befintlig LDAP-konfiguration till LDAPS. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Den här kunskapsdatabasartikeln fokuserar främst på vad som behövs för att konfigurera LDAPS, för en bredare förklaring av vad som krävs för att integrera AD/LDAP med NetWorker se: NetWorker: Så här konfigurerar du AD/LDAP-autentisering
Obs! Extern behörighet kan konfigureras från NetWorker Management Console och NetWorker-webbanvändargränssnittet (NWUI); Men att konfigurera Active Directory över LDAPS rekommenderas i allmänhet att använda authc_config-skriptet eller NWUI (19.7 och senare). Konfigurationsalternativet för NMC erbjuder endast "LDAP via SSL"; Om det här alternativet används anges "Active Directory: false". Det här alternativet förväntar sig att autentiseringsservern är LDAP istället för Microsoft Active Directory. Det leder till misslyckade inloggningar. Den process som beskrivs i den här kunskapsdatabasartikeln innehåller information om hur du konfigurerar LDAPS med hjälp av skriptet authc_configure. NWUI (19.7 och senare) har ett "AD over SSL"-alternativ. NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Vi rekommenderar att AD/LDAP-konfigurationen först fungerar över LDAP och sedan konverterar den till LDAPS för att utesluta eventuella konfigurationsproblem.
För att kunna använda LDAPS måste du importera CA-certifikatet (eller certifikatkedjan) från LDAPS-servern till JAVA-säkerhetsnyckellagret. Detta kan göras med följande procedur:
1) Öppna en administrativ/rot-kommandotolk.
2,a) Visa en lista över aktuella betrodda certifikat i förtroendearkivet.
2,b) Granska listan för ett alias som matchar din LDAPS-server (det kanske inte finns). Du kan använda kommandon för OS grep/findstr med ovanstående kommando för att begränsa sökningen. Om det finns ett inaktuellt/befintligt CA-certifikat från din LDAPS-server tar du bort det med följande kommando:
3,a) Använd OpenSSL-verktyget för att få en kopia av CA-certifikatet från LDAPS-servern.
3,b) Ovanstående kommando ger utdata för CA-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
3,c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och avsluta med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
4) Importera certifikaten som har skapats i 3,c till NYCKELlagret för JAVA-förtroende:
5) Kontrollera att certifikatet visas i nyckellagret:
7.a) Uppdatera skriptet authc-create-ad-config (Active Directory) ELLER authc-create-ldap-config (LDAP) för att använda LDAPS:
8) Kontrollera att konfigurationen har uppdaterats:
Om du stöter på fel eller problem när du följer den här proceduren kontaktar du administratören för certifikatutfärdare för att se till att rätt certifikat används/hämtas.
Obs! Extern behörighet kan konfigureras från NetWorker Management Console och NetWorker-webbanvändargränssnittet (NWUI); Men att konfigurera Active Directory över LDAPS rekommenderas i allmänhet att använda authc_config-skriptet eller NWUI (19.7 och senare). Konfigurationsalternativet för NMC erbjuder endast "LDAP via SSL"; Om det här alternativet används anges "Active Directory: false". Det här alternativet förväntar sig att autentiseringsservern är LDAP istället för Microsoft Active Directory. Det leder till misslyckade inloggningar. Den process som beskrivs i den här kunskapsdatabasartikeln innehåller information om hur du konfigurerar LDAPS med hjälp av skriptet authc_configure. NWUI (19.7 och senare) har ett "AD over SSL"-alternativ. NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Vi rekommenderar att AD/LDAP-konfigurationen först fungerar över LDAP och sedan konverterar den till LDAPS för att utesluta eventuella konfigurationsproblem.
För att kunna använda LDAPS måste du importera CA-certifikatet (eller certifikatkedjan) från LDAPS-servern till JAVA-säkerhetsnyckellagret. Detta kan göras med följande procedur:
1) Öppna en administrativ/rot-kommandotolk.
2,a) Visa en lista över aktuella betrodda certifikat i förtroendearkivet.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Vanligtvis är den binära JAVA-platsen en del av miljövariabeln OS PATH så att "keytool" kan köras var som helst. Om operativsystemet inte kan hitta nyckelverktygs binärt. Kör keytool-kommandona från JAVA\bin-katalogen på din NetWorker-server.
- Ersätt JAVA_PATH med sökvägen till JAVA-installationen varierar sökvägsnamnet beroende på vilken JAVA-version som är installerad.
- På system med NetWorker Runtime Environment (NRE) installerat är detta vanligtvis:
- Linux: /opt/nre/java/latest/
- Windows: C:\Program\NRE\java\jre-###
- På system med NetWorker Runtime Environment (NRE) installerat är detta vanligtvis:
- Ersätt lösenord med JAVA-storepass. Standardvärdet är changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Granska listan för ett alias som matchar din LDAPS-server (det kanske inte finns). Du kan använda kommandon för OS grep/findstr med ovanstående kommando för att begränsa sökningen. Om det finns ett inaktuellt/befintligt CA-certifikat från din LDAPS-server tar du bort det med följande kommando:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Ersätt ALIAS_NAME med aliasnamnet på LDAPS-servern som hämtades från utdata i 2 a.
3,a) Använd OpenSSL-verktyget för att få en kopia av CA-certifikatet från LDAPS-servern.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Som standard innefattar inte Windows-värdarna OpenSL-programmet. Om det inte går att installera OpenSSL på NetWorker-servern kan certifikaten exporteras direkt från LDAPS-servern. Vi rekommenderar dock starkt att du använder OpenSSL-verktyget.
- Såvida inte sökvägen till OpenSSL-binärkatalogen är en del av miljövariabeln OS PATH måste du köra OpenSSL-kommandona från deras binära plats.
- Om du inte har OpenSSL och den inte kan installeras tillhandahåller AD-administratören certifikaten genom att exportera dem som Base-64-kodat x.509-format.
- Ersätt LDAPS_SERVER med värdnamnet eller IP-adressen för LDAPS-servern.
3,b) Ovanstående kommando ger utdata för CA-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Obs! Om det finns en certifikatkedja är det sista certifikatet ca-certifikatet. Du måste importera varje certifikat i kedjan i ordning (uppifrån och ned) som slutar med CA-certifikatet.
3,c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och avsluta med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
4) Importera certifikaten som har skapats i 3,c till NYCKELlagret för JAVA-förtroende:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Ersätt ALIAS_NAME med ett alias för det importerade certifikatet. Vanligtvis är det här LDAPS-serverns namn. Om du behöver importera flera certifikat för en certifikatkedja måste varje certifikat ha ett annat ALIAS-namn och importeras separat. Certifikatkedjan måste också importeras i ordning från hur den visades i steg 3,a (uppifrån och ned).
- Ersätt JAVA_PATH med sökvägen till JAVA-installationen varierar sökvägsnamnet beroende på vilken JAVA-version som är installerad.
- Ersätt lösenord med JAVA-storepass. Standardvärdet är changeit.
- Ersätt PATH_TO\CERT_FILE med platsen för certifikatfilen som du skapade i steg 3,c.
- Du uppmanas att importera certifikatet, skriva ja och trycka på Retur.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Kontrollera att certifikatet visas i nyckellagret:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
Obs! Ange kommandot grep eller findstr för operativsystemet (|) i ovanstående kommando för att begränsa resultatet.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Starta om NetWorker-servertjänsterna.
Linux:
Linux:
nsr_shutdown
service networker-start
Windows: net stop nsrd
net start nsrd
Windows: net stop nsrd
net start nsrd
Obs! Om NetWorker-servertjänsterna inte startas om kommer authc inte att läsa cacerts-filen och den identifierar inte de importerade certifikat som krävs för att upprätta SSL-kommunikation med LDAP-servern.
Plats:
| Linux | /opt/nsr/authc-server/scripts/ |
| Windows | [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
Obs! Om du lägger till en ny konfiguration bör "-e add-config" användas om du uppdaterar en befintlig konfiguration bör "-e update-config" användas. På adressraden config-server-address anger du protokollet "ldaps" (måste vara gemener) och port "636".
7,b) Kör skriptet från kommandoraden. Den bör rapportera att konfigurationen har uppdaterats/lagts till korrekt.
8) Kontrollera att konfigurationen har uppdaterats:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- Du uppmanas att ange NetWorker-administratörslösenordet med varje kommando. Kommandot kan köras med flaggan "-p password", men det kan misslyckas på vissa operativsystem på grund av att rensa textlösenord används.
- Ersätt CONFIG_ID med det konfigurations-ID som samlats in med det första kommandot:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
Servern autentiseras nu med AD/LDAP via LDAPS.
Om du stöter på fel eller problem när du följer den här proceduren kontaktar du administratören för certifikatutfärdare för att se till att rätt certifikat används/hämtas.
Additional Information
Oavsett om du använder Windows Active Directory eller Linux LDAP (t.ex.: OpenLDAP) används LDAP-protokollet för autentisering. LDAP (Lightweight Directory Application Protocol) och Secure LDAP (LDAPS) är de anslutningsprotokoll som används mellan programmet och nätverkskatalogen eller domänkontrollanten i infrastrukturen.
LDAP överför kommunikation med klartext och LDAPS-kommunikation är krypterad och säker.
LDAP överför kommunikation med klartext och LDAPS-kommunikation är krypterad och säker.
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020799
Article Type: How To
Last Modified: 28 Mar 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.