NetWorker: NetWorker Web Kullanıcı Arayüzünden (NWUI) "SSL üzerinden AD" (LDAPS) yapılandırma
Summary: Bu KB, NetWorker Web Kullanıcı Arayüzünden (NWUI) "SSL üzerinden AD" (LDAPS) yapılandırmasını yapmak için gereken süreci ayrıntılı olarak açıklar.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
SSL kimlik doğrulamasını yapılandırmak için kök CA'yı (veya CA zincirini) NetWorker'ın kimlik doğrulama sunucusu tarafından kullanılan cacerts dosyasına içe aktarın. Tek NetWorker sunucu ortamlarında sunucu, kimlik doğrulama sunucusudur; daha büyük veri bölgelerinde, tek kimlik doğrulama sunucusu birden çok sunucu için birincil kimlik doğrulama sunucusu olabilir. Kimlik doğrulama sunucusunu tanımlama talimatları için Ek Bilgi alanına bakın.
SSL kullanmak için AUTHC sunucusunu yapılandırma
Linux NetWorker sunucuları:
- NetWorker authc sunucusunda bir SSH oturumu açın.
- Kök kullanıcıya geçin:
$ sudo su -
- Etki alanı sunucusundan CA sertifikasını (veya sertifika zincirini) almak için OpenSSL kullanın:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA sertifikası, -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- içinde yer alır. Zincir sertifika kullanılıyorsa listelenen ilk sertifikaların ara sertifikalar olduğu ve listelenen son sertifikanın kök CA olduğu birden çok sertifika vardır.
- Tek sertifika: -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- dahil olmak üzere sertifikayı kopyalayın ve seçtiğiniz bir konumdaki RCAcert.crt adlı bir dosyaya yapıştırın.
- Sertifika zinciri: Her bir sertifikayı kopyalayın (-----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- alanları dahil) ve ayrı dosyalara yapıştırın. Örneğin: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt ve son olarak RCAcert.crt.
- İşlemi kolaylaştırmak için aşağıdaki komut satırı değişkenlerini ayarlayın:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Example:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Sertifikaları içe aktarın:
A. Sertifika zinciri kullanırken kök sertifikaya (RCA) giden zincirdeki her bir sertifikayı içe aktarın. Yalnızca tek bir kök CA kullanılıyorsa kök CA'yı içe aktarın.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Sertifikayı cacerts anahtar deposuna kabul etmeniz istenir.
B. Yinelenen bir diğer ad (önceki, süresi dolmuş sertifika) konusunda uyarı alırsanız aynı diğer ada sahip mevcut sertifikayı silin:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Eski sertifika kaldırıldıktan sonra A adımını yineleyin.
- NetWorker sunucu hizmetlerini yeniden başlatın. Hizmetlerin yeniden başlatılması, kimlik doğrulama başlangıcı sırasında cacerts dosyasını yeniden yükler. Sertifikalar içe aktarıldıktan sonra NetWorker hizmetleri yeniden başlatılmazsa NetWorker'da harici yetkiyi yapılandırma işlemi sertifikayla ilgili bir hatayla başarısız olur.
# nsr_shutdown # systemctl start networker
Windows NetWorker Sunucuları:
NOT: Etki alanı sunucusuna bağlanmak ve SSL üzerinden AD için gereken CA sertifikasını (veya sertifika zincirini) almak için OpenSSL kullanın. Windows sunucuları varsayılan olarak OpenSSL içermez; ancak, sunuculara OpenSSL kurulabilir. Alternatif olarak OpenSSL kullanmak yerine, etki alanı yöneticisi CA sertifikasını (ve kullanılıyorsa sertifika zincirini) sağlayabilir. Sertifika, PEM formatında sağlanmalıdır. OpenSSL'i doğrudan kimlik doğrulama sunucusundan kullanmak tercih edilen yöntemdir.
- Bir Yönetici Komut İstemi açın.
- Şu değişkenleri ayarlayın:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Example:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Etki alanı sunucusundan CA sertifikasını (veya sertifika zincirini) almak için OpenSSL kullanın:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA sertifikası, -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- içinde yer alır. Zincir sertifika kullanılıyorsa birden çok sertifika görüntülenir: Bunlardan ilki ara sertifikalar, sonuncusu ise kök CA'dır.
- Tek sertifika: -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- dahil olmak üzere sertifikayı kopyalayın ve seçtiğiniz bir konumdaki RCAcert.crt adlı bir dosyaya yapıştırın.
- Sertifika zinciri: Her bir sertifikayı kopyalayın (-----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- alanları dahil) ve ayrı dosyalara yapıştırın. Örneğin: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt ve son olarak RCAcert.crt.
- Kök CA ve tüm ara sertifikalar (kullanılıyorsa) için komut satırı değişkenlerini ayarlayın:
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Example:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Sertifikaları içe aktarın:
A. Sertifika zinciri kullanırken RCA'ya giden zincirdeki her sertifikayı içe aktarın. Yalnızca tek bir kök CA kullanılıyorsa kök CA'yı içe aktarın.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Sertifikayı cacerts anahtar deposuna kabul etmeniz istenir.
B. Yinelenen bir diğer ad (önceki, süresi dolmuş sertifika) konusunda uyarı alırsanız aynı diğer ada sahip mevcut sertifikayı silin:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Eski sertifika kaldırıldıktan sonra A adımını yineleyin.
- NetWorker sunucu hizmetlerini yeniden başlatın. Hizmetlerin yeniden başlatılması, kimlik doğrulama başlangıcı sırasında cacerts dosyasını yeniden yükler. Sertifikalar içe aktarıldıktan sonra NetWorker hizmetleri yeniden başlatılmazsa NetWorker'da harici yetkiyi yapılandırma işlemi sertifikayla ilgili bir hatayla başarısız olur.
net stop nsrd net start nsrd
NWUI'dan "SSL üzerinden AD" harici yetki kaynağı oluşturma.
- Bir web tarayıcısından NWUI sunucusuna erişin: https://nwui-server-name:9090/nwui
- NetWorker Yönetici hesabını kullanarak oturum açın.
- Menüden Authentication Server (Kimlik Doğrulama Sunucusu) öğesini genişletin ve External Authorities (Harici Yetkiler) öğesine tıklayın.
- Harici Yetkiler bölümünden Add+ (Ekle+) öğesine tıklayın.
- Yapılandırma alanlarını doldurun:
Temel Yapılandırma
|
Field (Alan)
|
Değer
|
|
Ad
|
LDAP veya AD yapılandırması için boşluk içermeyen açıklayıcı bir ad. Maksimum karakter sayısı 256'dır. ASCII karakterlerini yalnızca yapılandırma adında belirtin.
|
|
Sunucu Tipi
|
SSL üzerinden AD
|
|
Sağlayıcı Sunucu Adı
|
Active Directory Sunucusunun ana bilgisayar adını veya IP adresini belirtir
|
|
Bağlantı Noktası
|
SSL için Bağlantı Noktası 636 kullanılır. "AD over SSL" (SSL üzerinden AD) seçilirse bu alan otomatik olarak doldurulmalıdır.
|
|
Kiracı
|
Yapılandırılmışsa kiracıyı seçin. Herhangi bir kiracı yapılandırılmamışsa veya gerekli değilse "default" (varsayılan) değerini kullanabilirsiniz.
Kiracının yapılandırılması için şu oturum açma söz dizimi gerekir: "tenant_name\domain_name\user_name." Varsayılan kiracı kullanılıyorsa (ortak) oturum açma söz dizimi "domain_name\user_name" olur. Kiracı - NetWorker Kimlik Doğrulama Hizmeti için üst düzey kurumsal kapsayıcı. Yerel veritabanındaki her harici kimlik doğrulama yetkisi bir kiracıya atanır. Kiracı bir veya daha fazla Etki Alanı içerebilir fakat etki alanı adları kiracı içinde benzersiz olmalıdır. NetWorker Kimlik Doğrulama Hizmeti, Varsayılan etki alanını içeren bir Varsayılan yerleşik kiracı adı oluşturur. Birden fazla kiracı oluşturmak karmaşık yapılandırmaları yönetmenize yardımcı olur. Örneğin, kısıtlı veri bölgelerine (RDZ) sahip hizmet sağlayıcıları, kiracı kullanıcılara yalıtılmış veri koruma hizmetleri sağlamak için birden çok kiracı oluşturabilir. |
|
Domain (Etki Alanı)
|
Tüm DC değerlerini içeren tam etki alanı adı; ör.: example.com
|
|
Kullanıcı DN'si
|
AD dizinine tam okuma erişimi olan bir kullanıcı hesabının ayırt edici tam adını (DN) belirtir
|
|
Kullanıcı DN Parolası
|
AD direct erişim ve okuma işlemleri için kullanılan kullanıcı hesabının parolasını belirtir
|
Gelişmiş Yapılandırma
|
Grup Nesne Sınıfı
|
Gereklidir. LDAP veya AD hiyerarşisindeki grupları tanımlayan nesne sınıfı.
● LDAP için groupOfUniqueNames veya groupOfNames sınıfını kullanın ● AD için group sınıfını kullanın |
|
Grup Arama Yolu (isteğe bağlı)
|
LDAP veya AD hiyerarşisinde grupları ararken kimlik doğrulama hizmetinin kullanması gereken arama yolunu belirten bir DN.
|
|
Grup Adı Özniteliği
|
Grup adını tanımlayan öznitelik; ör.: cn.
|
|
Grup Üyesi Özniteliği
|
Kullanıcının bir grup içerisindeki grup üyeliği:
● LDAP için:
○ Grup Nesne Sınıfı groupOfNames olduğunda, öznitelik genellikle member olur.
○ Grup Nesne Sınıfı groupOfUniqueNames olduğunda, öznitelik genellikle uniquemember olur.
● AD için değer genellikle member şeklindedir.
|
|
Kullanıcı Nesne Sınıfı
|
LDAP veya AD hiyerarşisindeki kullanıcıları tanımlayan nesne sınıfı. Örneğin, person.
|
|
Kullanıcı Arama Yolu (isteğe bağlı)
|
LDAP veya AD hiyerarşisinde kullanıcıları ararken kimlik doğrulama hizmetinin kullanması gereken arama yolunu belirten DN. configserver-address seçeneğinde belirttiğiniz temel DN'ye göre bir arama yolu belirtin. Örneğin, AD için cn=users değerini belirtin.
|
|
Kullanıcı Kimliği Özniteliği
|
LDAP veya AD hiyerarşisindeki kullanıcı nesnesiyle ilişkili kullanıcı kimliği.
LDAP için bu öznitelik genellikle uid şeklindedir. AD için bu öznitelik genellikle sAMAccountName şeklindedir. |
NOT: Ortamınız için AD/LDAP'ye özgü hangi alanların gerekli olduğunu onaylamak için AD/LDAP yöneticinize danışın.
- İşiniz bittiğinde Save (Kaydet) öğesine tıklayın.
- Şimdi yapılandırılan harici yetki kaynağının bir özeti görüntülenmelidir:
- Server (Sunucu) > User Groups (Kullanıcı Grupları) menüsünden, AD/LDAP Gruplarına veya Kullanıcılarına temsilci olarak atamak istediğiniz hakları içeren Kullanıcı Gruplarını düzenleyin. Tam Yönetici hakları vermek için Application Administrators (Uygulama Yöneticileri) ve Security Administrators (Güvenlik Yöneticileri) rollerinin External Roles (Harici Roller) alanında AD grubunu/kullanıcı DN'sini belirtin.
örneğin, CN=NetWorker_Admins,DC=amer,DC=lan
Bu işlem, şu komut satırından da yapılabilir:
nsraddadmin -e "Distinguished_Name"
Example:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- AD grubu veya kullanıcı DN'leri belirtildikten sonra Save (Kaydet) öğesine tıklayın.
- NWUI arayüzünde oturumu kapatın ve AD hesabını kullanarak yeniden oturum açın:
- Sağ üst köşedeki kullanıcı simgesi, hangi kullanıcı hesabında oturum açıldığını gösterir.
Additional Information
NetWorker kimlik doğrulaması için kullanılan AUTHC sunucusunu onaylama
NetWorker Management Console (NMC) sunucusunun gstd.conf dosyası, oturum açma isteklerini işlemek için hangi ana bilgisayarın kullanıldığını gösterir:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
"authsvc_hostname" değeri için dosyayı kontrol edin. authsvc_hostname, authc (kimlik doğrulama) sunucusudur.
AD grubu üyeliğini denetleme ve NetWorker izinleri için gereken Ayırt Edici Ad (DN) değerlerini alma:
AD/LDAP gruplarının/kullanıcılarının görünür olduğunu onaylamak için NetWorker sunucunuzda authcmgmt komutunu kullanabilirsiniz:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Example:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
NOT: Bazı sistemlerde,
authc komutları, doğru parola girilse bile "yanlış parola" hatasıyla başarısız olabilir. Bunun nedeni, parolanın -p seçeneği ile görünür metin olarak belirtilmekte olmasıdır. Bu sorunla karşılaşırsanız komutlardan -p password öğesini kaldırın. Komutu çalıştırdıktan sonra gizlenen parolayı girmeniz istenir.
Diğer İlgili Makaleler:
- NetWorker: authc_config komut dosyalarını kullanarak LDAP/AD'yi ayarlama
- NetWorker: AD/LDAP Kimlik Doğrulamasını Ayarlama (İngilizce)
- NetWorker: Yönetici parolası nasıl sıfırlanır
- NetWorker: LDAPS entegrasyonu, "LDAPS sunucusuna bağlanmaya çalışırken SSL el sıkışma hatası oluştu: İstenen hedef için geçerli sertifika yolu bulamıyor" hatasıyla başarısız oluyor
- NetWorker: "Authc" ve "NWUI" için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme (Linux)
- NetWorker: "Authc" ve "NWUI" için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.