NetWorker : configuration d’AD over SSL (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI))
Summary: Cet article de la base de connaissances détaille le processus requis pour configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI).
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Pour configurer l’authentification SSL, importez l’autorité de certification racine (ou chaîne d’autorité de certification) dans le fichier cacerts utilisé par le serveur authc de NetWorker. Dans les environnements à un seul serveur NetWorker, le serveur est le serveur d’authentification ; dans les zones de données plus grandes, un serveur authc peut être le serveur d’authentification principal pour plusieurs serveurs. Voir le champ Informations supplémentaires pour obtenir des instructions sur l’identification du serveur authc.
Configuration d’AUTHC pour utiliser SSL
Serveurs Linux NetWorker :
- Ouvrez une session SSH sur le serveur authc NetWorker.
- Passez à l’utilisateur root :
$ sudo su -
- Utilisez OpenSSL pour obtenir le certificat d’autorité de certification (ou chaîne de certificat) du serveur de domaine :
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Le certificat d’autorité de certification est inclus dans ------- BEGIN CERTIFICATE----- et ------ END CERTIFICATE------. Si un certificat de chaîne est utilisé, plusieurs certificats dont les premiers certificats répertoriés sont des certificats intermédiaires et le dernier certificat répertorié est l’autorité de certification racine.
- Certificat unique : copiez le certificat, y compris le ------- BEGIN CERTIFICATE----- et ------ END CERTIFICATE------ et placez-le dans un fichier appelé RCAcert.crt à l’emplacement de votre choix.
- Chaîne de certificat : copiez chaque certificat (y compris leurs champs --------- BEGIN CERTIFICATE----- et ------ END CERTIFICATE------) et placez-les dans des fichiers individuels. Par exemple, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt et enfin RCAcert.crt.
- Pour faciliter le processus, définissez les variables de ligne de commande suivantes :
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Exemple :
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Importez les certificats :
A. Lors de l’utilisation d’une chaîne de certificat, importez chaque certificat de la chaîne menant au certificat racine (RCA). Si une seule autorité de certification racine est utilisée, importez l’autorité de certification racine.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Vous êtes invité à accepter le certificat dans le magasin de clés cacerts.
B. Si vous êtes informé de la présence d’un alias dupliqué (certificat précédent expiré), supprimez le certificat existant avec le même alias :
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Répétez l’étape A après la suppression de l’ancien certificat.
- Redémarrez les services du serveur NetWorker. Le redémarrage des services recharge le fichier cacerts lors du démarrage authc. Si les services NetWorker ne sont pas redémarrés après l’importation des certificats, le processus de configuration de l’autorité externe dans NetWorker échoue avec une erreur liée au certificat.
# nsr_shutdown # systemctl start networker
Serveurs NetWorker sous Windows :
Remarque : Utilisez OpenSSL pour vous connecter au serveur de domaine et obtenir le certificat d’autorité de certification (ou la chaîne) nécessaire pour AD over SSL. Par défaut, les serveurs Windows n’incluent pas OpenSSL ; il peut toutefois être installé. Au lieu d’utiliser OpenSSL, l’administrateur du domaine peut également fournir le certificat d’autorité de certification (et la chaîne, le cas échéant). Ils doivent être fournis au format PEM. L’utilisation d’OpenSSL directement à partir du serveur d’authentification est la méthode préférée.
- Ouvrez une invite de commande Administrateur.
- Définissez les variables suivantes :
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Exemple :
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Utilisez OpenSSL pour obtenir le certificat d’autorité de certification (ou chaîne de certificat) du serveur de domaine :
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Le certificat d’autorité de certification est inclus dans ------- BEGIN CERTIFICATE----- et ------ END CERTIFICATE------. Si un certificat de chaîne est utilisé, plusieurs certificats s’affichent : les premiers sont des certificats intermédiaires et le dernier est l’autorité de certification racine.
- Certificat unique : copiez le certificat, y compris le ------- BEGIN CERTIFICATE----- et ------ END CERTIFICATE------ et placez-le dans un fichier appelé RCAcert.crt à l’emplacement de votre choix.
- Chaîne de certificat : copiez chaque certificat (y compris leurs champs --------- BEGIN CERTIFICATE----- et ------ END CERTIFICATE------) et placez-les dans des fichiers individuels. Par exemple, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt et enfin RCAcert.crt.
- Définissez des variables de ligne de commande pour l’autorité de certification racine et tout certificat intermédiaire (le cas échéant) :
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Exemple :
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Importez les certificats :
A. Lors de l’utilisation d’une chaîne de certificat, importez chaque certificat de la chaîne menant au RCA. Si une seule autorité de certification racine est utilisée, importez l’autorité de certification racine.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Vous êtes invité à accepter le certificat dans le magasin de clés cacerts.
B. Si vous êtes informé de la présence d’un alias dupliqué (certificat précédent expiré), supprimez le certificat existant avec le même alias :
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Répétez l’étape A après la suppression de l’ancien certificat.
- Redémarrez les services du serveur NetWorker. Le redémarrage des services recharge le fichier cacerts lors du démarrage authc. Si les services NetWorker ne sont pas redémarrés après l’importation des certificats, le processus de configuration de l’autorité externe dans NetWorker échoue avec une erreur liée au certificat.
net stop nsrd net start nsrd
Création d’une ressource d’autorité externe « AD over SSL » à partir de NWUI.
- À partir d’un navigateur Web, accédez au serveur NWUI : https://nom-du-serveur-nwui:9090/nwui
- Connectez-vous à l’aide du compte administrateur NetWorker.
- Dans le menu, développez Authentication Server et cliquez sur External Authorities.
- Dans External Authorites, cliquez sur Add+.
- Renseignez les champs de configuration :
Configuration de base
|
Champ
|
Valeur
|
|
Nom
|
Nom descriptif sans espaces de la configuration LDAP ou AD. Le nombre maximal de caractères est de 256. Spécifiez des caractères ASCII dans le nom de la configuration uniquement.
|
|
Type de serveur
|
AD over SSL
|
|
Nom du serveur du fournisseur
|
Spécifie le nom d’hôte ou l’adresse IP du serveur Active Directory
|
|
Port
|
Le port 636 est utilisé pour SSL. Ce champ doit être renseigné automatiquement si « AD over SSL » est sélectionné.
|
|
Client
|
Sélectionnez le client s’il est configuré. Si aucun client n’est configuré ou requis, vous pouvez utiliser le paramètre « default ».
La configuration d’un client nécessite la syntaxe de connexion suivante : « nom_client\nom_domaine\nom_utilisateur ». Si le client par défaut est utilisé (commun), la syntaxe de connexion est « nom_domaine\nom_utilisateur ». Client : conteneur organisationnel de premier niveau pour NetWorker Authentication Service. Chaque autorité d’authentification externe de la base de données locale est attribuée à un client. Un client peut contenir un ou plusieurs domaines, mais les noms de domaine doivent être uniques dans le client. NetWorker Authentication Service crée un nom de client intégré Default, qui contient le domaine Default. La création de plusieurs clients vous aide à gérer les configurations complexes. Par exemple, les prestataires de services disposant de zones de données restreintes (RDZ) peuvent créer plusieurs clients pour fournir des services de protection des données isolés aux utilisateurs des clients. |
|
Domaine
|
Nom de domaine complet, y compris toutes les valeurs DC ; par exemple : exemple.com
|
|
DN d’utilisateur
|
Spécifie le nom unique complet d’un compte d’utilisateur disposant d’un accès total en lecture au répertoire AD.
|
|
Mot de passe DN d’utilisateur
|
Spécifie le mot de passe du compte d’utilisateur utilisé pour accéder à AD Direct et le lire
|
Configuration avancée
|
Classe d’objets du groupe
|
Obligatoire. Classe d’objets qui identifie les groupes dans la hiérarchie LDAP ou AD.
● Pour LDAP, utilisez groupOfUniqueNames ou groupOfNames ● Pour AD, utilisez group |
|
Chemin de recherche du groupe (facultatif)
|
Nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche de groupes dans la hiérarchie LDAP ou Active Directory.
|
|
Attribut Nom du groupe
|
Attribut qui identifie le nom du groupe ; par exemple, cn.
|
|
Attribut Membre du groupe
|
Appartenance de l’utilisateur à un groupe :
● Pour LDAP :
○ Si la classe d’objets du groupe est groupOfNames, l’attribut est généralement member.
○ Si la classe d’objets du groupe est groupOfUniqueNames, l’attribut est généralement uniquemember.
● Pour AD, la valeur est généralement member.
|
|
Classe d’objets utilisateur
|
Classe d’objets qui identifie les utilisateurs dans la hiérarchie LDAP ou AD. Par exemple, personne.
|
|
Chemin de recherche de l’utilisateur (facultatif)
|
Nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche d’utilisateurs dans la hiérarchie LDAP ou Active Directory. Spécifiez un chemin de recherche relatif au nom unique de base que vous avez spécifié dans l’option configserver-address. Par exemple, pour AD, spécifiez cn=users.
|
|
Attribut d’ID utilisateur
|
ID utilisateur associé à l’objet utilisateur dans la hiérarchie LDAP ou Active Directory.
Pour LDAP, cet attribut est généralement uid. Pour AD, cet attribut est généralement sAMAccountName. |
Remarque : Consultez votre administrateur AD/LDAP pour confirmer quels champs spécifiques AD/LDAP sont nécessaires pour votre environnement.
- Lorsque vous avez terminé, cliquez sur Save.
- Un récapitulatif de la ressource d’autorité externe configurée doit maintenant s’afficher :
- Dans le menu Server> User Groups, modifiez les User Groups qui contiennent les droits que vous souhaitez déléguer aux groupes ou utilisateurs AD/LDAP. Pour accorder des droits d’administrateur complets, spécifiez le nom unique du groupe/utilisateur AD dans le champ External Roles des rôles Application Administrators et Security Administrators.
Par exemple, CN=NetWorker_Admins,DC=amer,DC=lan
Vous pouvez également le faire depuis la ligne de commande :
nsraddadmin -e "Distinguished_Name"
Exemple :
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Une fois que les noms uniques du groupe ou de l’utilisateur AD ont été spécifiés, cliquez sur Save.
- Déconnectez-vous de l’interface NWUI et reconnectez-vous à l’aide du compte AD :
- L’icône d’utilisateur dans le coin supérieur droit indique le compte d’utilisateur connecté.
Additional Information
Confirmation du serveur AUTHC utilisé pour l’authentification NetWorker
Le fichier gstd.conf du serveur NetWorker Management Console (NMC) indique l’hôte utilisé pour traiter les demandes de connexion :
Linux : /opt/lgtonmc/etc/gstd.conf
Windows. : C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Consultez la valeur authsvc_hostname dans le fichier. authsvc_hostname correspond au serveur authc (d’authentification).
Vérification de l’appartenance à un groupe AD et obtenir les valeurs de nom unique (DN) nécessaires pour les autorisations NetWorker :
vous pouvez utiliser la commande authcmgmt sur votre serveur NetWorker pour confirmer que les groupes/utilisateurs AD/LDAP sont visibles :
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Exemple :
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
Remarque : Sur certains systèmes, les commandes
authc peuvent échouer avec une erreur « mot de passe incorrect », même lorsque le mot de passe correct est fourni. Cela est dû au fait que le mot de passe est spécifié en tant que texte visible avec l’option -p . Si vous rencontrez ce problème, supprimez -p password dans les commandes. Vous serez invité à saisir le mot de passe masqué après l’exécution de la commande.
Autres articles pertinents :
- NetWorker : Configuration de LDAP/AD à l’aide de scripts authc_config
- NetWorker : Configuration de l’authentification AD/LDAP
- NetWorker : Réinitialisation du mot de passe administrateur
- NetWorker : l’intégration LDAPS échoue avec le message « An SSL handshake error occurred while attempting to connect to LDAPS server : Unable to find valid certification path to requested target »
- NetWorker : comment importer ou remplacer les certificats signés par l’autorité de certification pour « Authc » et « NWUI » (Linux)
- NetWorker : comment importer ou remplacer les certificats signés par l’autorité de certification pour « Authc » et « NWUI » (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.