NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Summary: У цій базі знань детально описано процес, необхідний для налаштування "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI).
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Щоб налаштувати аутентифікацію SSL, імпортуйте кореневий ЦС (або ланцюг ЦС) у файл cacerts, який використовується authc-сервером NetWorker. В одиночних серверних середовищах NetWorker сервер є сервером аутентифікації; У великих датазонах один сервер AUTHC може бути основним сервером аутентифікації для кількох серверів. Перегляньте поле Додаткова інформація, щоб отримати вказівки щодо визначення сервера authc.
Налаштування AUTHC для використання SSL
Сервери Linux NetWorker:
- Відкрийте сеанс SSH на сервері authc NetWorker.
- Перемкніться на root :
$ sudo su -
- Використовуйте OpenSSL для отримання сертифіката ЦС (або ланцюжка сертифікатів) з сервера домену:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Сертифікат ЦС вкладається в -----СЕРТИФІКАТ ПОЧАТКУ ----- ТА -----СЕРТИФІКАТ КІНЦЯ-----. Якщо використовується сертифікат ланцюга, то буде використано кілька сертифікатів, у яких перші сертифікати у списку є проміжними, а останній сертифікат у списку — кореневим центром сертифікації.
- Єдиний сертифікат: Скопіюйте сертифікат із сертифікатами -----BEGIN CERTIFICATE----- і -----END CERTIFICATE----- і помістіть його у файл під назвою RCAcert.crt у вибраному вами місці.
- Ланцюжок сертифікатів: Скопіюйте кожен сертифікат (разом із полями -----BEGIN CERTIFICATE----- і -----END CERTIFICATE-----) і помістіть їх в окремі файли. Наприклад, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt і, нарешті, RCAcert.crt.
- Щоб полегшити процес, встановіть такі змінні командного рядка:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Приклад:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Імпортуйте сертифікати:
A. Використовуючи ланцюжок сертифікатів, імпортуйте кожен сертифікат у ланцюжку, що веде до кореневого сертифіката (RCA). Якщо використовується лише один корінь ЦС, імпортуйте кореневий ЦС.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Вам буде запропоновано прийняти сертифікат у сховище ключів cacerts.
B. Якщо ви отримали попередження про дублікат псевдоніма (попередній, термін дії сертифіката, термін дії якого закінчився), видаліть існуючий сертифікат із таким самим псевдонімом:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Повторіть крок A після видалення старого сертифіката.
- Перезапустіть служби сервера NetWorker. Перезапуск служб перезавантажує файл cacerts під час запуску authc. Якщо служби NetWorker не перезапускаються після імпорту сертифікатів, процес налаштування зовнішнього авторитету в NetWorker завершується помилкою, пов'язаною з сертифікатом.
# nsr_shutdown # systemctl start networker
Сервери Windows NetWorker:
ПРИМІТКА. Використовуйте OpenSSL для підключення до сервера домену та отримання сертифіката CA (або ланцюга), необхідного для AD через SSL. Сервери Windows за замовчуванням не включають OpenSSL; Однак його можна встановити. Крім того, замість використання OpenSSL адміністратор домену може надати сертифікат CA (і ланцюжок, якщо він використовується). Вони повинні бути надані у форматі PEM. Використання OpenSSL безпосередньо з сервера автентифікації є кращим методом.
- Відкрийте командний рядок адміністратора.
- Встановіть такі змінні:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Приклад:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Використовуйте OpenSSL для отримання сертифіката ЦС (або ланцюжка сертифікатів) з сервера домену:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Сертифікат ЦС вкладається в -----СЕРТИФІКАТ ПОЧАТКУ ----- ТА -----СЕРТИФІКАТ КІНЦЯ-----. Якщо використовується сертифікат ланцюга, з'являється кілька сертифікатів: перші — це проміжні сертифікати, а останні — кореневий ЦС.
- Єдиний сертифікат: Скопіюйте сертифікат із сертифікатами -----BEGIN CERTIFICATE----- і -----END CERTIFICATE----- і помістіть його у файл під назвою RCAcert.crt у вибраному вами місці.
- Ланцюжок сертифікатів: Скопіюйте кожен сертифікат (разом із полями -----BEGIN CERTIFICATE----- і -----END CERTIFICATE-----) і помістіть їх в окремі файли. Наприклад, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt і, нарешті, RCAcert.crt.
- Встановіть змінні командного рядка для кореневого центру сертифікації та будь-якого проміжного сертифіката (якщо він використовується):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Приклад:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Імпортуйте сертифікати:
A. Використовуючи ланцюжок сертифікатів, імпортуйте кожен сертифікат у ланцюжку, що веде до RCA. Якщо використовується лише один корінь ЦС, імпортуйте кореневий ЦС.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Вам буде запропоновано прийняти сертифікат у сховище ключів cacerts.
B. Якщо ви отримали попередження про дублікат псевдоніма (попередній, термін дії сертифіката, термін дії якого закінчився), видаліть існуючий сертифікат із таким самим псевдонімом:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Повторіть крок A після видалення старого сертифіката.
- Перезапустіть служби сервера NetWorker. Перезапуск служб перезавантажує файл cacerts під час запуску authc. Якщо служби NetWorker не перезапускаються після імпорту сертифікатів, процес налаштування зовнішнього авторитету в NetWorker завершується помилкою, пов'язаною з сертифікатом.
net stop nsrd net start nsrd
Створення ресурсу зовнішніх повноважень "AD over SSL" від NWUI.
- З веб-браузера перейдіть на сервер NWUI: https:// nwui-server-name:9090/nwui
- Увійдіть в систему за допомогою облікового запису адміністратора NetWorker.
- У меню розгорніть «Сервер автентифікації» та натисніть «Зовнішні джерела».
- У розділі «Зовнішні центри» натисніть «Додати+».
- Заповніть поля конфігурації:
Базова конфігурація
|
Поле
|
Цінність
|
|
Ім'я
|
Описова назва без пробілів для конфігурації LDAP або AD. Максимальна кількість символів – 256. Вказуйте символи ASCII лише в назві конфігурації.
|
|
Тип сервера
|
AD через SSL
|
|
Ім'я сервера провайдера
|
Визначає ім'я хоста або IP-адресу сервера Active Directory
|
|
Порт
|
Для SSL використовується порт 636, це поле має заповнюватися автоматично, якщо вибрано "AD over SSL".
|
|
Орендаря
|
Виберіть клієнта, якщо він налаштований. Якщо жоден клієнт не налаштований або не потрібен, ви можете використовувати параметр «за замовчуванням».
Для налаштування клієнта потрібен такий синтаксис входу в систему: "tenant_name\domain_name\user_name". Якщо використовується клієнт за замовчуванням (загальний), то синтаксис входу в систему буде таким: "domain_name\user_name". Tenant — організаційний контейнер верхнього рівня для служби аутентифікації NetWorker. Кожен зовнішній орган автентифікації в локальній базі даних призначається клієнту. Клієнт може містити один або кілька доменів, але доменні імена мають бути унікальними в межах клієнта. Служба аутентифікації NetWorker створює одне інтегроване ім'я клієнта Default, яке містить домен Default. Створення кількох клієнтів допомагає керувати складними конфігураціями. Наприклад, постачальники послуг із обмеженими зонами передачі даних (RDZ) можуть створювати кілька клієнтів для надання ізольованих послуг із захисту даних користувачам-клієнтам. |
|
Домен
|
Повне доменне ім'я, включаючи всі значення DC; Наприклад: example.com
|
|
DN користувача
|
Визначає повне відокремлене ім'я (DN) облікового запису користувача, який має повний доступ на читання до каталогу AD
|
|
Пароль DN користувача
|
Вказує пароль облікового запису користувача, який використовується для доступу та читання безпосереднього доступу до AD
|
Розширена конфігурація
|
Клас групового об'єкта
|
Необхідний. Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD.
● Для LDAP використовуйте groupOfUniqueNames або groupOfNames ● Для AD використовуйте group |
|
Шлях групового пошуку (необов'язково)
|
DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку груп в ієрархії LDAP або AD.
|
|
Атрибут назви групи
|
Атрибут, що ідентифікує назву групи; Наприклад, кн.
|
|
Атрибут члена групи
|
Членство користувача в групі таке:
● Для LDAP:
○ Коли класом об'єкта групи є groupOfNames , атрибут зазвичай є членом.
○ Коли класом об'єкта групи є groupOfUniqueNames , атрибутом зазвичай є uniquemember.
● Для AD значення зазвичай є членом.
|
|
Клас об'єкта користувача
|
Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD. Наприклад, чол.
|
|
Шлях пошуку користувача (необов'язково)
|
DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку користувачів в ієрархії LDAP або AD. Вкажіть шлях пошуку, який є відносним до базового DN, який ви вказали в опції configserver-address . Наприклад, для AD вкажіть cn=users.
|
|
Атрибут ідентифікатора користувача
|
Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD.
Для LDAP цей атрибут зазвичай є uid. Для AD цим атрибутом зазвичай є sAMAccountName. |
ПРИМІТКА. Проконсультуйтеся зі своїм адміністратором AD/LDAP, щоб дізнатися, які специфічні поля AD/LDAP потрібні для вашого середовища.
- Коли закінчите, натисніть зберегти.
- Тепер має з'явитися підсумок налаштованого ресурсу зовнішніх повноважень:
- У меню «Групи користувачівсервера>» відредагуйте групи користувачів, які містять права, які ви хочете делегувати групам AD/LDAP або користувачам. Щоб надати повні права адміністратора, укажіть DN групи AD/користувача в полі «Зовнішні ролі» ролей «Адміністратори програм» і «Адміністратори безпеки ».
наприклад, CN=NetWorker_Admins,DC=amer,DC=lan
Це також можна зробити з командного рядка:
nsraddadmin -e "Distinguished_Name"
Приклад:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Указавши DN-адреси групи AD або користувача, натисніть «Зберегти».
- Вийдіть з інтерфейсу NWUI та увійдіть знову, використовуючи обліковий запис AD:
- Піктограма користувача у верхньому правому куті вказує, який обліковий запис користувача ввійшов у систему.
Additional Information
Підтвердження сервера AUTHC, який використовується для аутентифікації
NetWorkerФайл gstd.conf сервера NetWorker Management Console (NMC) показує, який хост використовується для обробки запитів на вхід:
Linux: /opt/lgtonmc/etc/gstd.conf
Вікна: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Перевірте файл на наявність значення authsvc_hostname. authsvc_hostname – це сервер
authc (аутентифікації).Як перевірити членство в групі AD і отримати значення відмінного імені (DN), необхідні для дозволів NetWorker:
Ви можете використовувати функцію authcmgmt на вашому сервері NetWorker, щоб підтвердити, що групи AD/LDAP/користувачі видимі:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Приклад:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
ПРИМІТКА. У деяких системах
authc Команди можуть не виконуватися з помилкою «неправильний пароль», навіть якщо вказано правильний пароль. Це пов'язано з тим, що пароль вказано у вигляді видимого тексту з -p Варіант. Якщо ви зіткнулися з цим, видаліть -p password з команд. Вам буде запропоновано ввести пароль, прихований після виконання команди.
Інші статті по темі:
- NetWorker: Як налаштувати LDAP/AD за допомогою сценаріїв authc_config
- NetWorker: Як налаштувати автентифікацію AD/LDAP
- NetWorker: Як скинути пароль адміністратора
- NetWorker: Не вдається інтегрувати LDAPS: «Під час спроби підключитися до сервера LDAPS виникла помилка SSL-рукостискання: Не вдається знайти дійсний шлях сертифікації до запитуваної цілі"
- NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації, для "authc" і "NWUI" (Linux)
- NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації для "authc" і "NWUI" (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.