NetWorker. Как настроить аутентификацию LDAPS

Summary: Обзор настройки AD или Secure Lightweight Directory Access Protocol (LDAPS) в NetWorker с помощью мастера внешнего ресурса полномочий NMC. Эту статью KB также можно использовать в качестве инструкции по обновлению существующей конфигурации внешнего ресурса полномочий. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Эта статья делится на следующие разделы. Перед продолжением внимательно просмотрите каждый раздел.

Предварительные условия

  • Определите хост, который является сервером authc . Это полезно для относительно больших зон данных NetWorker. В небольших зонах данных с одним сервером NetWorker сервер NetWorker является сервером аутентификации. 
  • Определите операционную среду Java, которая используется для службы аутентификации.
  • Задайте переменные командной строки, чтобы упростить импорт используемых для SSL сертификатов CA с внешней аутентификацией NetWorker.

Настройка SSL

  • Импортируйте сертификаты, используемые для аутентификации LDAPS, в хранилище ключей cacerts операционной среды служб аутентификации.

Настройка внешнего ресурса полномочий

  • Создайте внешний ресурс полномочий в службе аутентификации.
  • Определите внешних пользователей или группы для использования в NetWorker.
  • Определите внешних пользователей или группы, которые обладают доступом к NetWorker Management Console (NMC).
  • Определите разрешения сервера NetWorker для внешних пользователей и групп.
  • (Опционально) Настройте разрешения безопасности FULL_CONTROL для внешнего пользователя или группы.

Предварительные условия

Чтобы использовать LDAPS, вы должны импортировать сертификат CA (или цепочку сертификатов) с сервера LDAPS в хранилище ключей Java cacerts сервера аутентификации NetWorker.

  1. Определите хост, который является сервером аутентификации NetWorker. Это можно проверить в файле gstd.conf сервера NetWorker Management Console (NMC).
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
ПРИМЕЧАНИЕ. Файл gstd.conf содержит строку authsvc_hostname , которая определяет сервер аутентификации, используемый для обработки запросов на вход для NetWorker Management Console (NMC).
  1. На сервере аутентификации NetWorker определите используемый экземпляр Java.
Windows:
A. Введите Сведения о системе в строке поиска Windows.
B. В разделе Сведения о системе нажмите Дополнительные параметры системы.
C. В окне Свойства системы нажмите Переменные среды.
D. Переменная NSR_JAVA_HOME определяет путь операционной среды Java, используемой authcNetWorker:

NSR_JAVA_HOME

    1. E. В командной строке с правами администратора задайте переменные командной строки, которые указывают путь установки java, определенный на предыдущем шаге:
set JAVA="Path\to\java"
Пример:
 Пример настройки переменной JAVA в Windows  
Это ускоряет выполнение команд keytool java в ходе настройки SSL и позволяет убедиться в том, что нужный файл cacerts импортирует сертификат CA. Эта переменная удаляется после закрытия сеанса командной строки и не мешает другим операциям NetWorker.

Linux:

    A. Проверьте файл /nsr/authc/conf/installrc , чтобы узнать, какое расположение Java использовалось при настройке службы аутентификации.

    sudo cat /nsr/authc/conf/installrc
    Пример: 
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    ПРИМЕЧАНИЕ. Эта переменная применяется только к процессам NetWorker. Возможно, что echo $JAVA_HOME возвратит другой путь; например, это может произойти, если в системе также установлена операционная среда Oracle Java (JRE). При выполнении следующего шага важно использовать путь $JAVA_HOME , указанный в файле NetWorker /nsr/authc/conf/installrc .

    B. Задайте переменные командной строки, которые указывают путь установки java, определенный на предыдущем шаге.

    JAVA=/path/to/java
    Пример:
    настройка переменной java в Linux 
    Это ускоряет выполнение команд keytool java в ходе настройки SSL и позволяет убедиться в том, что нужный файл cacerts импортирует сертификат CA. Эта переменная удаляется после закрытия сеанса командной строки и не мешает другим операциям NetWorker.

    Настройка SSL

    Чтобы использовать LDAPS, необходимо импортировать сертификат CA (или цепочку сертификатов) с сервера LDAPS в доверенное хранилище ключей JAVA. Это можно сделать следующим образом.

    ПРИМЕЧАНИЕ. В рамках приведенного ниже процесса используются переменные командной строки, заданные в соответствии с разделом Предварительные условия. Если переменные командной строки не заданы, укажите вместо них полный путь java.
    1. Откройте командную строку с правами администратора или пользователя root.
    2. Выведите список текущих доверенных сертификатов в доверенном хранилище.
    Windows: 
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    3. Просмотрите список, чтобы найти псевдоним, соответствующий вашему серверу LDAPS (он может не существовать). Можно использовать команды операционной системы grep или findstr с указанной выше командой для сужения поиска. Если на сервере LDAPS имеется устаревший или существующий сертификат CA, удалите его с помощью следующей команды.

    Windows:

    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    ПРИМЕЧАНИЕ. Замените ALIAS_NAME на псевдоним старых или просроченных сертификатов из шага 2.
      4. Используйте инструмент OpenSSL для получения копии сертификата CA с сервера LDAPS. 
      openssl s_client -showcerts -connect LDAPS_SERVER:636
      • По умолчанию хосты Windows не включают программу openssl . Если установить OpenSSL на сервер NetWorker невозможно, сертификаты можно экспортировать непосредственно с сервера LDAPS, однако настоятельно рекомендуется использовать утилиту OpenSSL. 
      • В Linux обычно присутствует установленная утилита openssl . Если в среде существуют серверы Linux, на них можно использовать openssl для сбора файлов сертификатов. Их можно скопировать и использовать на сервере Windows authc .
      • Если у вас нет утилиты OpenSSL и ее невозможно установить, обратитесь к администратору AD с просьбой предоставить один или несколько сертификатов путем их экспорта в формате x.509 с кодировкой Base-64.
      • Замените LDAPS_SERVER на имя хоста или IP-адрес сервера LDAPS.
      5. Приведенная выше команда выводит сертификат CA или цепочку сертификатов в формате Privacy Enhanced Mail (PEM). Пример: 
      -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
      ПРИМЕЧАНИЕ. При наличии цепочки сертификатов последний сертификат представляет собой сертификат CA. Необходимо импортировать каждый сертификат в цепочке по порядку (сверху вниз), заканчивая сертификатом CA.
       
      6. Скопируйте сертификат, начиная с ---BEGIN CERTIFICATE--- и заканчивая ---END CERTIFICATE--- , и вставьте его в новый файл. При наличии цепочки сертификатов это необходимо сделать с каждым сертификатом.
      7. Импортируйте созданные файлы сертификатов в доверенное хранилище ключей JAVA.
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE

      Linux:

      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Замените ALIAS_NAME на псевдоним импортированного сертификата. Пример: «RCA» (root CA). В случае импорта нескольких сертификатов из цепочки каждый из сертификатов должен обладать уникальным именем ALIAS и импортироваться отдельно. Цепочку сертификатов также необходимо импортировать в порядке, указанном в описании шага 5 (сверху вниз).
      • Замените PATH_TO\CERT_FILE на расположение файла сертификата, созданного на шаге 6.
      8. Появится запрос на импорт сертификата. Введите yes и нажмите «ВВОД». 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Убедитесь, что сертификат отображается в хранилище ключей.
      Windows: 
      %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit

      Linux:

      $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
      ПРИМЕЧАНИЕ. Вставьте (|) команду операционной системы grep или findstr в приведенную выше команду для сужения результата. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Перезапустите службы сервера NetWorker. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      ПРИМЕЧАНИЕ. Перезапустите службы сервера NetWorker, чтобы удостовериться в том, что authc читает файл cacerts и обнаруживает импортированные сертификаты для обмена данными с сервером LDAP по протоколу SSL.
       

      Настройка внешнего ресурса полномочий

      Эта статья KB посвящена использованию NetWorker Management Console (NMC) для настройки LDAP по протоколу SSL. Для настройки AD по протоколу SSL рекомендуется использовать веб-интерфейс пользователя NetWorker (NWUI). Этот процесс подробно описан в следующей статье:

      В качестве альтернативы можно использовать authc_config (метод сценария):

      Если руководствоваться любой из этих двух статей, можно перейти к той части, где речь идет о создании внешнего ресурса полномочий. Повторять процедуру импорта сертификатов не требуется.

      ПРИМЕЧАНИЕ. Этой статьей KB можно руководствоваться при настройке AD по протоколу SSL, однако в этом случае потребуется выполнить дополнительные шаги. Эти шаги описаны ниже.

      1. Войдите в NetWorker Management Console (NMC) с помощью учетной записи администратора NetWorker. Выберите Setup-->Users and Roles-->External Authority.
      2. Создайте или настройте существующую конфигурацию внешнего ресурса полномочий, а затем выберите LDAP over SSL в раскрывающемся списке «Server Type». При этом порт автоматически изменится с 389 на 636:
      Пример добавления AD по протоколу SSL в NMC
      ПРИМЕЧАНИЕ. Разверните поле «Show Advanced Options» и убедитесь, что для сервера аутентификации заданы корректные значения. Таблицу с описанием полей и их значений см. в разделе этой статьи KB Дополнительная информация.

      Для Active Directory по протоколу SSL

      ПРЕДУПРЕЖДЕНИЕ. Использование настройки NMC LDAP over SSL с Microsoft Active Directory приведет к заданию значения «false» для параметра внутренней конфигурации «is active directory». Это помешает успешной аутентификации AD в NetWorker. Для исправления этой ситуации можно выполнить следующие действия.

      A. Получите сведения об идентификаторе конфигурации.

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Пример:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Используйте команду authc_config для задания значения параметра is-active-directory=y. 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      ПРИМЕЧАНИЕ. Значения, необходимые для этих полей, можно получить на шаге A.
       
      Пример: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Теперь внешний ресурс полномочий правильно настроен для Microsoft Active Directory.

       
      3. Можно использовать команду authc_mgmt на сервере NetWorker для подтверждения отображения групп/пользователей AD/LDAP. 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Пример: 
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      ПРИМЕЧАНИЕ. В некоторых системах команды authc могут завершаться сбоем с ошибкой «incorrect password», даже если указан правильный пароль. Это связано с тем, что пароль указан в форме видимого текста с параметром «-p». При возникновении этой проблемы удалите «-p password» из команд. После выполнения команды вам будет предложено ввести скрытый пароль.
       

      Настройка NMC для принятия внешней аутентификации

      4. При входе в NMC с учетной записью администратора NetWorker по умолчанию откройте Setup-->Users and Roles-->NMC Roles. Откройте свойства роли Console Application Administrators и введите различающееся имя Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. (DN) группы AD/LDAP в поле external roles. Для пользователей, которым требуются разрешения на уровне учетной записи администратора NetWorker по умолчанию, укажите DN группы AD/LDAP в роли Console Security Administrators. Для пользователей или групп AD, которым не требуются права администратора для консоли NMC, добавьте соответствующее полное имя DN во внешние роли Console User.

      Пример внешних ролей, заданных в ролях NMC 
      ПРИМЕЧАНИЕ. По умолчанию имя DN группы администраторов LOCAL сервера NetWorker уже существует. Не удаляйте его.
       

      Настройка разрешений внешних пользователей сервера NetWorker

      5. Установите подключение к серверу NetWorker из NMC и откройте Server-->User Groups. Введите различающееся имя (DN) группы AD/LDAP в поле external roles свойств роли Application Administrators. Для пользователей, которым требуются разрешения на уровне учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли Security Administrators.
      Настройка групп пользователей nsr с внешними пользователями или группами
      ПРИМЕЧАНИЕ. По умолчанию имя DN группы администраторов LOCAL сервера NetWorker уже существует. Не удаляйте его.
       
      В качестве альтернативы можно использовать nsraddadmin для выполнения этой задачи для внешних пользователей/групп, которые должны обладать полными правами администратора NetWorker: 
      nsraddadmin -e "USER/GROUP_DN"
      Пример: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Получение доступа к NMC
      Вы должны получить доступ к NMC и серверу NetWorker с внешними пользователями, которым предоставлено разрешение на выполнение этого действия.
      вход в систему в качестве внешнего пользователя
      После входа в систему пользователь отображается в правом верхнем углу NMC:
      Отображение пользователя AD в NMC

      Дополнительные разрешения безопасности

      6. (ОПЦИОНАЛЬНО.) Если вы хотите, чтобы группа AD/LDAP могла управлять внешними ресурсами полномочий, выполните следующие действия на сервере NetWorker.
       
      A. Откройте командную строку с правами администратора или пользователя root.
      B. Используя DN группы AD, которой вы хотите предоставить разрешение FULL_CONTROL, выполните: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Пример: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Additional Information

      Дополнительные сведения см. в руководстве по настройке безопасности NetWorker, доступном по адресу https://www.dell.com/support/home/product-support/product/networker/docs

      Значения конфигурации

      «Server Type» Выберите LDAP, если сервер аутентификации представляет собой сервер Linux/UNIX LDAP, или Active Directory, если используется сервер Microsoft Active Directory.
      «Authority Name» Укажите имя для внешнего источника аутентификации. Это имя может быть любым; оно нужно лишь для того, чтобы отличать этот источник аутентификации от других, если настроено несколько источников.
      «Provider Server Name» Это поле должно содержать полное доменное имя (FQDN) сервера AD или LDAP.
      «Tenant» Клиентов можно использовать в средах с несколькими методов аутентификации или при необходимости настроить несколько источников аутентификации. По умолчанию выбран клиент «default». Использование клиентов приводит к изменению способа входа в систему. Войдите в NMC с использованием «domain\user» для клиента по умолчанию или «tenant\domain\user» для других клиентов.
      «Domain» Укажите полное доменное имя (за исключением имени хоста). Как правило, это базовое имя DN, которое состоит из значений компонентов домена (DC). 
      «Port Number» Для интеграции LDAP и AD используйте порт 389. Для LDAP по протоколу SSL используйте порт 636.
      Эти порты не являются портами NetWorker по умолчанию на сервере AD/LDAP.
      «User DN» Укажите различающееся имя (DN) учетной записи пользователя, который обладает полным доступом для чтения к каталогу LDAP или Active Directory.
      Укажите относительное имя DN учетной записи пользователя или полное имя DN, если необходимо изменить значение, указанное в поле «Domain».
      «User DN Password» Введите пароль указанной учетной записи пользователя.
      «Group Object Class» Класс объектов, который идентифицирует группы в иерархии LDAP или AD.
      • Для LDAP используйте groupOfUniqueNames или groupOfNames 
        ПРИМЕЧАНИЕ. Существуют другие классы объектов групп, помимо groupOfUniqueNames и groupOfNames.  Используйте класс объектов, настроенный на сервере LDAP.
      • Для AD используйте group
      «Group Search Path» Это поле можно оставить пустым; в этом случае authc может запрашивать полный домен. Для того чтобы эти пользователи/группы смогли войти в NMC и управлять сервером NetWorker, необходимо предоставить разрешения для доступа к серверу NMC/NetWorker. Укажите относительный путь к домену, а не полное имя DN.
      «Group Name Attribute» Атрибут, который идентифицирует имя группы. Например, cn
      «Group Member Attribute» Участие пользователя в конкретной группе.
      • Для LDAP:
        • Если для параметра «Group Object Class» задано значение groupOfNames, атрибут обычно обладает значением member.
        • Если для параметра «Group Object Class» задано значение groupOfUniqueNames, атрибут обычно обладает значением uniquemember.
      •  Для AD обычно используется значение member.
      «User Object Class» Класс объектов, который идентифицирует пользователей в иерархии LDAP или AD.
      Например, inetOrgPerson или user
      «User Search Path» Как и «Group Search Path», это поле можно оставить пустым; в этом случае authc сможет запрашивать полный домен. Укажите относительный путь к домену, а не полное имя DN.
      «User ID Attribute» Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD.
      • Для LDAP обычно используется атрибут uid.
      • Для AD обычно используется атрибут sAMAccountName.

      Другие статьи по теме

      Affected Products

      NetWorker
      Article Properties
      Article Number: 000156132
      Article Type: How To
      Last Modified: 17 Jun 2025
      Version:  14
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.