NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário na Web do NetWorker (NWUI)
Summary: Este artigo da KB detalha o processo necessário para configurar o "AD over SSL" (LDAPS) a partir da interface do usuário Web do NetWorker (NWUI).
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Para configurar a autenticação SSL, importe a CA raiz (ou cadeia de CA) para o arquivo cacerts usado pelo servidor authc do NetWorker. Em ambientes de servidor NetWorker único, o servidor é o servidor de autenticação; em zonas de dados maiores, um servidor authc pode ser o servidor de autenticação principal para vários servidores. Consulte o campo Additional Info para obter instruções sobre como identificar o servidor authc.
Como configurar o AUTHC para usar SSL
Servidores NetWorker com Linux:
- Abra uma sessão SSH para o servidor authc do NetWorker.
- Alterne para root:
$ sudo su -
- Use o OpenSSL para obter o certificado CA (ou cadeia de certificados) do servidor de domínio:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
O certificado da CA está incluído em -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----. Se um certificado de cadeia for usado, vários certificados em que os primeiros certificados listados são certificados intermediários e o último certificado listado é a CA raiz.
- Certificado único: Copie o certificado, incluindo o -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- e coloque-o em um arquivo chamado RCAcert.crt em um local de sua escolha.
- Cadeia de certificados: Copie cada certificado (incluindo os campos -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----) e coloque-os em arquivos individuais. Por exemplo, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt e, por último, RCAcert.crt.
- Para ajudar a facilitar o processo, defina as seguintes variáveis de linha de comando:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Exemplo:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Importar os certificados:
A. Ao usar uma cadeia de certificados, importe cada certificado na cadeia que leva ao certificado raiz (RCA). Se apenas uma única CA raiz for usada, importe a CA raiz.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Você deverá aceitar o certificado no repositório de chaves cacerts.
B. Se você for alertado sobre um alias duplicado (certificado anterior, expirado), exclua o certificado existente com o mesmo alias:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Repita a etapa A após a remoção do certificado antigo.
- Reinicie os serviços do servidor NetWorker. A reinicialização dos serviços recarrega o arquivo cacerts durante a inicialização do authc. Se os serviços do NetWorker não forem reiniciados após a importação dos certificados, o processo para configurar a autoridade externa no NetWorker apresentará falha com um erro relacionado ao certificado.
# nsr_shutdown # systemctl start networker
Servidores NetWorker com Windows:
Nota: Use o OpenSSL para se conectar ao servidor de domínio e obter o certificado CA (ou cadeia) necessário para o AD over SSL. Os servidores Windows não incluem OpenSSL por padrão; no entanto, ele pode ser instalado. Como alternativa, em vez de usar o OpenSSL, o administrador de domínio pode fornecer o certificado CA (e a cadeia, se usada). Eles devem ser disponibilizados no formato PEM. Usar o OpenSSL diretamente do servidor de autenticação é o método preferencial.
- Abra um Prompt de comando do administrador.
- Defina as seguintes variáveis:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Exemplo:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Use o OpenSSL para obter o certificado CA (ou cadeia de certificados) do servidor de domínio:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
O certificado da CA está incluído em -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----. Se um certificado de cadeia for usado, vários certificados serão exibidos: os primeiros são certificados intermediários e o último é a CA raiz.
- Certificado único: Copie o certificado, incluindo o -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- e coloque-o em um arquivo chamado RCAcert.crt em um local de sua escolha.
- Cadeia de certificados: Copie cada certificado (incluindo os campos -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----) e coloque-os em arquivos individuais. Por exemplo, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt e, por último, RCAcert.crt.
- Defina variáveis de linha de comando para a CA raiz e qualquer certificado intermediário (se usado):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Exemplo:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Importar os certificados:
A. Ao usar uma cadeia de certificados, importe cada certificado na cadeia que leva ao RCA. Se apenas uma única CA raiz for usada, importe a CA raiz.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Você deverá aceitar o certificado no repositório de chaves cacerts.
B. Se você for alertado sobre um alias duplicado (certificado anterior, expirado), exclua o certificado existente com o mesmo alias:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Repita a etapa A após a remoção do certificado antigo.
- Reinicie os serviços do servidor NetWorker. A reinicialização dos serviços recarrega o arquivo cacerts durante a inicialização do authc. Se os serviços do NetWorker não forem reiniciados após a importação dos certificados, o processo para configurar a autoridade externa no NetWorker apresentará falha com um erro relacionado ao certificado.
net stop nsrd net start nsrd
Como criar o recurso de autoridade externa "AD over SSL" na NWUI.
- Em um navegador da Web, acesse o servidor NWUI: https://nwui-server-name:9090/nwui
- Faça log-in usando a conta do administrador do NetWorker.
- No menu, expanda Authentication Server e clique em External Authorities.
- Em External Authorities, clique em Add+.
- Preencha os campos de configuração:
Configuração básica
|
Campo
|
Valor
|
|
Nome
|
Um nome descritivo, sem espaços para a configuração de AD ou LDAP. O número máximo de caracteres é 256. Especifique os caracteres ASCII somente no nome da configuração.
|
|
Server Type
|
AD over SSL
|
|
Provider Server Name
|
Especifica o nome do host ou endereço IP do servidor do Active Directory
|
|
Porta
|
A porta 636 é usada para SSL. Esse campo deverá ser preenchido automaticamente se a opção "AD over SSL" estiver selecionada.
|
|
Tenant
|
Selecione o grupo de usuários, se configurado. Se nenhum grupo de usuários for configurado ou necessário, você poderá usar "default".
A configuração de um grupo de usuários requer a seguinte sintaxe de login: "tenant_name\domain_name\user_name". Se for usado o grupo de usuários padrão (comum), a sintaxe de log-in será "domain_name\user_name". Tenant — contêiner organizacional de nível superior para o serviço de autenticação do NetWorker. Cada autoridade de autenticação externa no banco de dados local é atribuída a um grupo de usuários. Um grupo de usuários pode conter um ou mais domínios, mas os nomes de domínio devem ser exclusivos dentro do grupo de usuários. O serviço de autenticação do NetWorker cria um nome de grupo de usuários integrado padrão, que contém o domínio padrão. A criação de vários grupos de usuários ajuda a gerenciar configurações complexas. Por exemplo, provedores de serviços com zonas de dados restritas (RDZ) podem criar vários grupos de usuários para fornecer serviços de proteção de dados isolados aos usuários do grupo de usuários. |
|
Domain
|
O nome de domínio completo, incluindo todos os valores de DC; ex.: example.com
|
|
User DN
|
Especifica o nome distinto (DN) completo de uma conta de usuário que tem acesso completo de leitura ao diretório do AD
|
|
User DN Password
|
Especifica a senha da conta de usuário usada para acessar e ler o AD direto
|
Configuração avançada
|
Group Object Class
|
Obrigatório. A classe de objeto que identifica grupos na hierarquia do AD ou LDAP.
● Para LDAP, use groupOfUniqueNames ou groupOfNames ● Para AD, use group |
|
Group Search Path (optional)
|
Um DN que especifica o caminho de pesquisa que o serviço de autenticação deve usar ao pesquisar grupos na hierarquia do AD ou LDAP.
|
|
Group Name Attribute
|
O atributo que identifica o nome do grupo; por exemplo, cn.
|
|
Group Member Attribute
|
A associação de grupo do usuário em um grupo:
● Para LDAP:
○ Quando a Classe de objeto do grupo é groupOfNames, o atributo geralmente é member.
○ Quando a classe de objeto do grupo é groupOfUniqueNames, o atributo geralmente é uniquemember.
● Para AD, o valor é comumente member.
|
|
User Object Class
|
A classe de objeto que identifica os usuários na hierarquia do AD ou LDAP. Por exemplo, person.
|
|
User Search Path (optional)
|
DN que especifica o caminho de pesquisa que o serviço de autenticação deve usar ao pesquisar usuários na hierarquia do AD ou LDAP. Especifique um caminho de pesquisa relativo ao DN de base que você especificou na opção configserver-address. Por exemplo, para AD, especifique cn=users.
|
|
User ID Attribute
|
O ID do usuário que está associado ao objeto do usuário na hierarquia do AD ou LDAP.
Para LDAP, esse atributo é normalmente uid. Para AD, esse atributo geralmente é sAMAccountName. |
Nota: Consulte o administrador do AD/LDAP para confirmar quais campos específicos do AD/LDAP são necessários para seu ambiente.
- Quando terminar, clique em Save.
- Agora, um resumo do recurso de autoridade externa configurado deve aparecer:
- No menu Server > User Groups, edite os grupos de usuário que contêm os direitos que você deseja delegar a grupos ou usuários do AD/LDAP. Por exemplo, para conceder direitos totais de administrador, o DN de grupo/usuário do AD deve ser especificado no campo External Roles das funções Application Administrators e Security Administrators.
por exemplo, CN=NetWorker_Admins,DC=amer,DC=lan
Isso pode ser feito da linha de comando:
nsraddadmin -e "Distinguished_Name"
Exemplo:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Depois que os DNs de grupo ou usuário do AD forem especificados, clique em Save.
- Faça log-out da interface NWUI e faça log-in novamente usando a conta do AD:
- O ícone de usuário no canto superior direito indica qual conta de usuário está conectada.
Additional Information
Confirmando o servidor AUTHC usado para a autenticação do NetWorker
O arquivo gstd.conf do servidor do NetWorker Management Console (NMC) mostra qual host é usado para processar solicitações de log-in:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Verifique o arquivo para obter o valor de authsvc_hostname. O authsvc_hostname é o servidor authc (autenticação).
Como verificar a associação de grupos do AD e obter os valores de nome distinto (DN) necessários para as permissões do NetWorker:
Você pode usar o authcmgmt comando no servidor do NetWorker para confirmar se os grupos/usuários do AD/LDAP estão visíveis:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Exemplo:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
Nota: Em alguns sistemas, os
authc comandos podem falhar com um erro de "senha incorreta" mesmo quando a senha correta é informada. Isso ocorre porque a senha está sendo especificada como texto visível com a opção -p . Se você identificar esse problema -p password a partir dos comandos. Será solicitado que você digite a senha oculta depois de executar o comando.
Outros artigos relevantes:
- NetWorker: Como configurar o LDAP/AD usando scripts authc_config
- NetWorker: Como configurar a autenticação do AD/LDAP
- NetWorker: Como redefinir a senha do administrador
- NetWorker: Falha na integração do LDAPS com o erro "An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target"
- NetWorker: Como importar ou substituir certificados assinados pela Autoridade de Certificação para "Authc" e "NWUI" (Linux)
- NetWorker: Como importar ou substituir certificados assinados pela Autoridade de Certificação para "Authc" e "NWUI" (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.