NetWorker: Jak nakonfigurovat službu „AD over SSL“ (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)
Summary: Tento článek znalostní databáze podrobně popisuje proces nutný ke konfiguraci služby „AD over SSL“ (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI).
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Chcete-li nakonfigurovat ověřování SSL, importujte kořenovou certifikační autoritu (nebo řetězec CA) do souboru cacerts používaného ověřovacím serverem NetWorker. V prostředích s jedním serverem NetWorker je server ověřovacím serverem. Ve větších datových zónách může být jeden ověřovací server primárním ověřovacím serverem pro více serverů. Pokyny k identifikaci ověřovacího serveru naleznete v poli Additional Info.
Konfigurace serveru AUTHC pro použití protokolu SSL
Servery Linux NetWorker:
- Otevřete relaci SSH na ověřovací server NetWorker.
- Přepněte na uživatele root:
$ sudo su -
- Pomocí OpenSSL získejte certifikát certifikační autority (nebo řetěz certifikátů) z doménového serveru:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Certifikát certifikační autority je uveden mezi částmi -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----. Pokud je použit řetězec certifikátů, více certifikátů, kde první uvedené certifikáty jsou zprostředkující certifikáty a poslední uvedený certifikát je kořenová certifikační autorita.
- Jeden certifikát: Zkopírujte certifikát včetně části BEGIN CERTIFICATE----- a -----END CERTIFICATE----- a vložte jej do souboru s názvem RCAcert.crt na vámi zvolené místo.
- Řetěz certifikátů: Zkopírujte jednotlivé certifikáty (včetně částí -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----) a vložte je do jednotlivých souborů. Například ICA3cert.crt, ICA2cert.crt, ICA1cert.crt a nakonec RCAcert.crt.
- Chcete-li tento proces usnadnit, nastavte následující proměnné příkazového řádku:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Příklad:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Importujte certifikáty:
A. Pokud používáte řetězec certifikátů, importujte každý certifikát v řetězci vedoucí ke kořenovému certifikátu (RCA). Pokud používáte pouze jednu kořenovou certifikační autoritu, importujte ji.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Zobrazí se výzva k přijetí certifikátu do úložiště klíčů cacerts.
B. Pokud jste upozorněni na duplicitní alias (předchozí certifikát, jehož platnost vypršela), odstraňte existující certifikát se stejným aliasem:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Po odebrání starého certifikátu opakujte krok A.
- Restartujte služby serveru NetWorker. Restartování služeb znovu načte soubor cacerts během spuštění ověřování. Pokud se služby NetWorker po importu certifikátů nerestartují, proces konfigurace externí autority v nástroji NetWorker selže s chybou související s certifikátem.
# nsr_shutdown # systemctl start networker
Servery NetWorker se systémem Windows:
POZNÁMKA: Pomocí OpenSSL se připojte k doménovému serveru a získejte certifikát certifikační autority (nebo řetězec) potřebný pro službu AD přes SSL. Servery Windows ve výchozím nastavení neobsahují OpenSSL; lze jej však nainstalovat. Alternativně může správce domény místo OpenSSL poskytnout certifikát certifikační autority (a řetězec, pokud je použit). Musí být poskytnuty ve formátu PEM. Upřednostňovanou metodou je použití OpenSSL přímo z ověřovacího serveru.
- Otevřete příkazový řádek správce.
- Nastavte následující proměnné.
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Příklad:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Pomocí OpenSSL získejte certifikát certifikační autority (nebo řetěz certifikátů) z doménového serveru:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Certifikát certifikační autority je uveden mezi částmi -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----. Pokud je použit řetězec certifikátů, zobrazí se více certifikátů: první uvedené certifikáty jsou zprostředkující certifikáty a poslední uvedený certifikát je kořenová certifikační autorita.
- Jeden certifikát: Zkopírujte certifikát včetně části BEGIN CERTIFICATE----- a -----END CERTIFICATE----- a vložte jej do souboru s názvem RCAcert.crt na vámi zvolené místo.
- Řetěz certifikátů: Zkopírujte jednotlivé certifikáty (včetně částí -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----) a vložte je do jednotlivých souborů. Například ICA3cert.crt, ICA2cert.crt, ICA1cert.crt a nakonec RCAcert.crt.
- Nastavte proměnné příkazového řádku pro kořenovou certifikační autoritu a případné zprostředkující certifikáty (pokud se používají):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Příklad:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Importujte certifikáty:
A. Pokud používáte řetězec certifikátů, importujte každý certifikát v řetězci vedoucí k certifikátu RCA. Pokud používáte pouze jednu kořenovou certifikační autoritu, importujte ji.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Zobrazí se výzva k přijetí certifikátu do úložiště klíčů cacerts.
B. Pokud jste upozorněni na duplicitní alias (předchozí certifikát, jehož platnost vypršela), odstraňte existující certifikát se stejným aliasem:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Po odebrání starého certifikátu opakujte krok A.
- Restartujte služby serveru NetWorker. Restartování služeb znovu načte soubor cacerts během spuštění ověřování. Pokud se služby NetWorker po importu certifikátů nerestartují, proces konfigurace externí autority v nástroji NetWorker selže s chybou související s certifikátem.
net stop nsrd net start nsrd
Vytvoření externího zdroje autority AD přes SSL ze serveru NWUI.
- Z webového prohlížeče přejděte na server NWUI: https://nwui-server-name:9090/nwui
- Přihlaste se pomocí účtu správce NetWorker.
- V nabídce rozbalte položku Authentication Server a klikněte na možnost External Authorities.
- V části External Authorities klikněte na možnost Add+.
- Vyplňte pole konfigurace:
Základní konfigurace
|
Pole
|
Hodnota
|
|
Název
|
Popisný název bez mezer pro konfiguraci LDAP nebo AD. Maximální počet znaků je 256. Znaky ASCII zadejte pouze v názvu konfigurace.
|
|
Typ serveru
|
AD přes SSL
|
|
Název serveru poskytovatele
|
Určuje název hostitele nebo IP adresu serveru Active Directory
|
|
Port
|
Port 636 se používá pro protokol SSL. Toto pole by se mělo vyplnit automaticky, pokud je vybrána možnost „AD over SSL“.
|
|
Tenant
|
Vyberte tenant, pokud je nakonfigurovaný. Pokud není nakonfigurovaný nebo vyžadovaný žádný tenant, můžete použít výchozí možnost.
Konfigurace tenantu vyžaduje následující syntaxi přihlášení „tenant_name\domain_name\user_name“. Pokud se použije výchozí tenant (běžný), syntaxe přihlášení je „domain_name\user_name“. Tenant – organizační kontejner nejvyšší úrovně pro ověřovací službu NetWorker. Každá externí ověřovací autorita v místní databázi je přiřazená tenantovi. Tenant může obsahovat jednu nebo více domén, ale názvy domén musejí být v rámci tenantu jedinečné. Ověřovací služba NetWorker vytvoří jednoho integrovaného tenantu s názvem Default, který obsahuje výchozí doménu. Vytvoření více tenantů vám pomůže spravovat složité konfigurace. Například poskytovatelé služeb s omezenými datovými zónami (RDZ) můžou vytvořit více nájemců, kteří uživatelům tenantu poskytnou izolované služby ochrany dat. |
|
Doména
|
Úplný název domény včetně všech hodnot řadiče domény, např.: example.com
|
|
Rozlišující název uživatele
|
Určuje úplný rozlišující název (DN) uživatelského účtu, který má úplný přístup pro čtení adresáře AD
|
|
Heslo rozlišujícího názvu uživatele
|
Určuje heslo uživatelského účtu, který se používá pro přístup ke službě AD a čtení.
|
Advanced Configuration
|
Třída objektů skupiny
|
– vyžadováno. Třída objektu, která identifikuje skupiny v hierarchii LDAP nebo AD.
● U LDAP použijte groupOfUniqueNames nebo groupOfNames ● U AD použijte group |
|
Vyhledávací cesta skupiny (volitelné)
|
Rozlišující název, který určuje vyhledávací cestu, kterou by měla ověřovací služba použít při hledání skupin v hierarchii LDAP nebo AD.
|
|
Atribut názvu skupiny
|
Atribut, který identifikuje název skupiny, například cn.
|
|
Atribut člena skupiny
|
Členství uživatele ve skupině:
● U LDAP:
○ Pokud je třída objektu skupiny groupOfNames, atribut je obvykle member.
○ Pokud je třída objektu skupiny groupOfUniqueNames, atribut je obvykle uniquemember.
● U AD je hodnota obvykle member.
|
|
Třída objektu uživatele
|
Třída objektu, která identifikuje uživatele v hierarchii LDAP nebo AD. Například person.
|
|
Vyhledávací cesta uživatele (volitelné)
|
Rozlišující název, který určuje vyhledávací cestu, kterou by měla ověřovací služba použít při hledání uživatelů v hierarchii LDAP nebo AD. Zadejte vyhledávací cestu, která je relativní vzhledem k základnímu rozlišujícímu názvu, který jste zadali v možnosti configserver-address. Například u AD zadejte cn=users.
|
|
Atribut ID uživatele
|
ID uživatele, které je přidruženo k objektu uživatele v hierarchii LDAP nebo AD.
U LDAP je tento atribut obvykle uid. U AD je tento atribut obvykle sAMAccountName. |
POZNÁMKA: Poraďte se se správcem AD/LDAP a ověřte, která konkrétní pole pro AD/LDAP jsou pro vaše prostředí potřeba.
- Až budete hotovi, klikněte na Save.
- Nyní by se měl zobrazit souhrn nakonfigurovaného prostředku externí autority:
- V nabídce Server > User Groups upravte skupiny uživatelů obsahující práva, která chcete delegovat na skupiny nebo uživatele AD/LDAP. Pokud chcete udělit úplná práva správce, zadejte rozlišující název skupiny AD nebo uživatele v poli External Roles rolí Application Administrators a Security Administrators.
například CN=NetWorker_Admins, Dc=amer, DC=lan
To lze provést z rozhraní příkazového řádku:
nsraddadmin -e "Distinguished_Name"
Příklad:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Po zadání rozlišujících názvů skupiny nebo uživatelů AD klikněte na možnost Save.
- Odhlaste se z rozhraní NWUI a znovu se přihlaste pomocí účtu AD:
- Ikona uživatele v pravém horním rohu označuje, který uživatelský účet je přihlášený.
Additional Information
Potvrzení serveru AUTHC použitého k ověření NetWorker
Soubor gstd.conf serveru NetWorker Management Console (NMC) ukazuje, který hostitel se používá ke zpracování požadavků na přihlášení:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
V souboru vyhledejte hodnotu authsvc_hostname. authsvc_hostname je ověřovací server (auth).
Jak zkontrolovat členství ve skupině AD a získat hodnoty rozlišujícího názvu (DN) potřebné pro oprávnění NetWorker:
Pomocí příkazu authcmgmt na serveru NetWorker potvrďte, zda jsou skupiny/uživatelé AD/LDAP viditelné:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Příklad:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
POZNÁMKA: U některých systémů příkazy
authc mohou selhat s chybou „incorrect password“, i když je zadáno správné heslo. To je způsobeno tím, že heslo je zadáno jako viditelný text s možností -p . Pokud se setkáte s tímto problémem, odstraňte z příkazů -p password . Po spuštění příkazu budete vyzváni k zadání skrytého hesla.
Další relevantní články:
- NetWorker: Jak nastavit protokol LDAP/AD pomocí skriptů authc_config
- NetWorker: Jak nastavit ověřování AD/LDAP
- NetWorker: Jak resetovat heslo správce
- NetWorker: Integrace protokolu LDAPS selže s chybou „An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target“
- NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro „Authc“ a „NWUI“ (Linux)
- NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro služby „Authc“ a „NWUI“ (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.