NetWorker: Cómo configurar “AD mediante SSL” (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)

Summary: En este artículo de la base de conocimientos, se detalla el proceso necesario para configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Para configurar la autenticación SSL, importe la CA raíz (o la cadena de CA) en el archivo cacerts que utiliza el servidor authc de NetWorker. En entornos de un solo servidor de NetWorker, el servidor es el servidor de autenticación; en zonas de datos más grandes, un servidor authc puede ser el servidor de autenticación principal para varios servidores. Consulte el campo Información adicional para obtener instrucciones sobre cómo identificar el servidor authc.


Configuración de AUTHC para usar SSL

Servidores de NetWorker en Linux:

  1. Abra una sesión SSH en el servidor authc de NetWorker.
  2. Cambie a root:
$ sudo su -
  1. Utilice OpenSSL para obtener el certificado de CA (o la cadena de certificados) del servidor de dominio:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
El certificado de CA se encuentra entre -----BEGIN CERTIFICATE----------END CERTIFICATE-----. Si se utiliza un certificado de cadena, hay varios certificados en que los primeros certificados enumerados son intermedios y el último certificado de la lista es la CA raíz.
  • Certificado único: Copie el certificado, incluidos el -----BEGIN CERTIFICATE----- y el -----END CERTIFICATE-----, y colóquelo en un archivo llamado RCAcert.crt en una ubicación que desee.
  • Cadena de certificados: Copie cada certificado (incluidos sus campos -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----) y colóquelos en archivos individuales. Por ejemplo, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt y, por último, RCAcert.crt.
  1. Para ayudar a facilitar el proceso, configure las siguientes variables de la línea de comandos:
# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Ejemplo: 
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#
  1. Importar los certificados:
A. Cuando utilice una cadena de certificados, importe cada certificado de la cadena hasta el certificado raíz (RCA).  Si solo se utiliza una CA raíz, importe la CA raíz. 
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Se le solicitará que acepte el certificado en el almacén de claves cacerts. 

B. Si recibe una alerta de un alias duplicado (certificado anterior vencido), elimine el certificado existente con el mismo alias: 
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Repita el paso A después de eliminar el certificado anterior.
  1. Reinicie los servicios del servidor de NetWorker. Cuando se reinician los servicios, se vuelve a cargar el archivo cacerts durante el inicio de authc. Si los servicios de NetWorker no se reinician después de importar los certificados, el proceso para configurar la autoridad externa en NetWorker falla con un error relacionado con el certificado.
# nsr_shutdown
# systemctl start networker


Servidores de NetWorker en Windows:


NOTA: Utilice OpenSSL para conectarse al servidor de dominio y obtener el certificado de CA (o la cadena) necesario para AD mediante SSL. Los servidores de Windows no incluyen OpenSSL de forma predeterminada; sin embargo, se puede instalar. Como alternativa, en lugar de utilizar OpenSSL, el administrador de dominio puede proporcionar el certificado de CA (y la cadena si se utiliza). Deben proporcionarse en formato PEM. El método preferido es usar OpenSSL directamente desde el servidor de autenticación. 
  1. Abra un símbolo del sistema de administrador.
  2. Establezca las siguientes variables:
set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Ejemplo: 
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>
  1. Utilice OpenSSL para obtener el certificado de CA (o la cadena de certificados) del servidor de dominio:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
El certificado de CA se encuentra entre -----BEGIN CERTIFICATE----------END CERTIFICATE-----. Si se utiliza un certificado de cadena, aparecen varios certificados: los primeros son certificados intermedios y el último es la CA raíz. 
  • Certificado único: Copie el certificado, incluidos el -----BEGIN CERTIFICATE----- y el -----END CERTIFICATE-----, y colóquelo en un archivo llamado RCAcert.crt en una ubicación que desee. 
  • Cadena de certificados: Copie cada certificado (incluidos sus campos -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----) y colóquelos en archivos individuales. Por ejemplo, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt y, por último, RCAcert.crt. 
  1. Configure las variables de la línea de comandos para la CA raíz y cualquier certificado intermedio (si se utiliza):
set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"
Ejemplo: 
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
  1. Importar los certificados:
A. Cuando utilice una cadena de certificados, importe cada certificado de la cadena hasta el RCA. Si solo se utiliza una CA raíz, importe la CA raíz. 
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Se le solicitará que acepte el certificado en el almacén de claves cacerts. 
B. Si recibe una alerta de un alias duplicado (certificado anterior vencido), elimine el certificado existente con el mismo alias: 
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Repita el paso A después de eliminar el certificado anterior.
  1. Reinicie los servicios del servidor de NetWorker. Cuando se reinician los servicios, se vuelve a cargar el archivo cacerts durante el inicio de authc. Si los servicios de NetWorker no se reinician después de importar los certificados, el proceso para configurar la autoridad externa en NetWorker falla con un error relacionado con el certificado.
net stop nsrd
net start nsrd


Creación de un recurso de autoridad externa de "AD a través de SSL" desde NWUI.

  1. Desde un navegador web, acceda al servidor de NWUI: https://nwui-server-name:9090/nwui
  2. Inicie sesión con la cuenta de administrador de NetWorker.
  3. En el menú, expanda Authentication Server y haga clic en External Authorities.
  4. En External Authorities, haga clic en Add+.
  5. Complete los campos de configuración:
Configuración básica
 
Campo
Valor
Nombre
Un nombre descriptivo, sin espacios, para la configuración de LDAP o AD. La cantidad máxima de caracteres es 256. Especifique caracteres ASCII solo en el nombre de configuración.
Tipo de servidor
AD mediante SSL
Nombre del servidor del proveedor 
Especifica el nombre de host o la dirección IP del servidor de Active Directory
Puerto
El puerto 636 se utiliza para SSL; este campo se debe completar automáticamente si se selecciona "AD over SSL".
Grupo de usuarios
Seleccione el grupo de usuarios, si está configurado. Si no se configura ni se requiere ningún grupo de usuarios, puede usar la opción predeterminada "default". 
La configuración de un grupo de usuarios requiere la siguiente sintaxis de inicio de sesión: "nombre_grupo_de_usuarios\nombre_dominio\nombre_usuario". Si se utiliza el grupo de usuarios predeterminado (común), la sintaxis de inicio de sesión es "nombre_dominio\nombre_usuario". 

Grupo de usuarios: contenedor organizacional de nivel superior para el servicio de autenticación de NetWorker. Cada autoridad de autenticación externa en la base de datos local se asigna a un grupo de usuarios. Un grupo de usuarios puede contener uno o más dominios, pero los nombres de dominio deben ser únicos dentro del grupo de usuarios. El servicio de autenticación de NetWorker crea un nombre de grupo de usuarios integrado predeterminado, que contiene el dominio predeterminado. La creación de varios grupos de usuarios lo ayuda a administrar configuraciones complejas. Por ejemplo, los proveedores de servicios con zonas de datos restringidas (RDZ) pueden crear varios grupos de usuarios para proporcionar servicios de protección de datos aislados a los usuarios de grupos de usuarios.
Dominio
El nombre de dominio completo, incluidos todos los valores de DC; p. ej.: ejemplo.com
DN de Usuario
Especifica el nombre distinguido completo (DN) de una cuenta de usuario que tiene acceso de lectura total en el directorio de AD
Contraseña de DN de usuario
Especifica la contraseña de la cuenta de usuario que se utiliza para acceder y leer AD Direct
 
Configuración avanzada
 
Clase de objeto de grupo
Obligatorio. La clase de objeto que identifica a los grupos en la jerarquía de LDAP o AD.
● Para LDAP, use groupOfUniqueNames o groupOfNames
● Para AD, use group
Ruta de búsqueda de grupo (opcional)
Un DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación al buscar grupos en la jerarquía de LDAP o AD.
Atributo de nombre de grupo
El atributo que identifica el nombre del grupo; por ejemplo, cn.
Atributo de miembro del grupo
La membresía de grupo del usuario dentro de un grupo:
● Para LDAP:
○ Cuando la clase de objeto de grupo es groupOfNames, el atributo es comúnmente member.
○ Cuando la clase de objeto de grupo es groupOfUniqueNames, el atributo es comúnmente uniquemember.
● Para AD, el valor suele ser member.
Clase de objeto de usuario
La clase de objeto que identifica a los usuarios en la jerarquía de LDAP o AD. Por ejemplo, persona.
Ruta de búsqueda de usuario (opcional)
El DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación al buscar usuarios en la jerarquía de LDAP o AD. Especifique una ruta de búsqueda que sea relativa al DN base que especificó en la opción configserver-address. Por ejemplo, para AD, especifique cn=users.
Atributo de ID de usuario
El ID de usuario asociado con el objeto de usuario en la jerarquía de LDAP o AD.
Para LDAP, este atributo es comúnmente uid.
Para AD, este atributo suele ser sAMAccountName.

NOTA: Consulte con su administrador de AD/LDAP para confirmar qué campos específicos de AD/LDAP son necesarios para su entorno.
 

 

  1. Cuando haya terminado, haga clic en Save.
  2. Debería aparecer un resumen del recurso de autoridad externa configurado:

Ejemplo de configuración

  1. Desde el menú Server > User Groups, edite los Grupos de usuarios que contienen los derechos que desea delegar a los grupos o usuarios de AD/LDAP. Para otorgar derechos completos de administrador, especifique el DN del usuario/grupo de AD en el campo External Roles de los roles Administradores de aplicaciones y Administradores de seguridad.

Por ejemplo, CN=NetWorker_Admins,DC=amer,DC=lan

Editar administradores de aplicaciones

Esto también se puede hacer desde la línea de comandos:

nsraddadmin -e "Distinguished_Name"
Ejemplo: 
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

 

  1. Una vez que se especifican los DN de usuario o grupo de AD, haga clic en Save
  2. Cierre sesión en la interfaz de NWUI y vuelva a iniciar sesión con la cuenta de AD:

Inicie sesión en la interfaz de NWUI

  1. El icono de usuario en la esquina superior derecha indica qué cuenta de usuario ha iniciado sesión.

Additional Information

Confirmación del servidor AUTHC utilizado para la autenticación de NetWorker
El archivo gstd.conf del servidor de NetWorker Management Console (NMC) muestra qué host se utiliza para procesar las solicitudes de inicio de sesión:

Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

Compruebe el archivo para ver el valor de authsvc_hostname. El authsvc_hostname es el servidor authc (de autenticación).

Cómo comprobar la membresía en grupos de AD y obtener los valores de nombre distintivo (DN) necesarios para los permisos de NetWorker:
Puede utilizar el authcmgmt comando en el servidor de NetWorker para confirmar que los usuarios/grupos de AD/LDAP estén visibles:

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Ejemplo:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

NOTA: En algunos sistemas, los authc comandos pueden fallar con un error de "contraseña incorrecta", incluso cuando se proporciona la contraseña correcta. Esto se debe a que la contraseña se especifica como texto visible con la -p opción. Si se le presenta esta situación, elimine -p password de los comandos. Se le solicitará que ingrese la contraseña oculta después de ejecutar el comando.


Otros artículos relevantes:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.