NetWorker: Konfiguration von „AD over SSL“ (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI)
Summary: In diesem Wissensdatenbank-Artikel wird der Prozess beschrieben, der für die Konfiguration von „AD over SSL“ (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI) erforderlich ist.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Um die SSL-Authentifizierung zu konfigurieren, importieren Sie die Stamm-CA (oder die CA-Kette) in die cacerts-Datei, die vom authc-Server von NetWorker verwendet wird. In Umgebungen mit einem einzigen NetWorker-Server ist der Server der Authentifizierungsserver. In größeren Datenzonen kann ein AuthC-Server der primäre Authentifizierungsserver für mehrere Server sein. Anweisungen zur Identifizierung des authc-Servers finden Sie im Feld Zusätzliche Informationen.
Konfigurieren von AUTHC für die Verwendung von SSL
Linux-NetWorker-Server:
- Öffnen Sie eine SSH-Sitzung zum NetWorker-authc-Server.
- Wechseln Sie zum Root-Nutzer:
$ sudo su -
- Verwenden Sie OpenSSL, um das CA-Zertifikat (oder die Zertifikatskette) vom Domainserver abzurufen:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Das CA-Zertifikat ist in -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- eingeschlossen. Wenn ein Kettenzertifikat verwendet wird, werden mehrere Zertifikate verwendet, wobei die ersten aufgeführten Zertifikate Zwischenzertifikate sind und das letzte aufgeführte Zertifikat die Stammzertifizierungsstelle ist.
- Einzelnes Zertifikat: Kopieren Sie das Zertifikat einschließlich -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und legen Sie es in einer Datei namens RCAcert.crt an einem Speicherort Ihrer Wahl ab.
- Zertifikatskette: Kopieren Sie jedes Zertifikat (einschließlich der Felder -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und fügen Sie sie in einzelne Dateien ein. Beispiel: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt und schließlich RCAcert.crt.
- Um den Prozess zu vereinfachen, legen Sie die folgenden Befehlszeilenvariablen fest:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Beispiel:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Zertifikate importieren:
A. Wenn Sie eine Zertifikatkette verwenden, importieren Sie jedes Zertifikat in der Kette, die zum Stammzertifikat (RCA) führt. Wenn nur eine einzige Stammzertifizierungsstelle verwendet wird, importieren Sie die Stammzertifizierungsstelle.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Sie werden aufgefordert, das Zertifikat im cacerts-Keystore zu akzeptieren.
B. Wenn Sie über einen doppelten Alias (vorheriges, abgelaufenes Zertifikat) informiert werden, löschen Sie das vorhandene Zertifikat mit demselben Alias:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Wiederholen Sie Schritt A, nachdem das alte Zertifikat entfernt wurde.
- Starten Sie die NetWorker-Serverservices neu. Durch den Neustart von Services wird die cacerts-Datei während des authc-Starts neu geladen. Wenn die NetWorker-Services nach dem Importieren der Zertifikate nicht neu gestartet werden, schlägt der Prozess zum Konfigurieren der externen Zertifizierungsstelle in NetWorker mit einem zertifikatbezogenen Fehler fehl.
# nsr_shutdown # systemctl start networker
Windows-NetWorker-Server:
HINWEIS: Verwenden Sie OpenSSL, um eine Verbindung zum Domainserver herzustellen und das CA-Zertifikat (oder die Kette) abzurufen, das für AD über SSL erforderlich ist. Windows-Server enthalten standardmäßig kein OpenSSL. Es kann jedoch installiert werden. Alternativ können DomainadministratorInnen anstelle von OpenSSL das CA-Zertifikat (und ggf. die Kette) bereitstellen. Sie müssen im PEM-Format bereitgestellt werden. Die Verwendung von OpenSSL direkt vom Authentifizierungsserver ist die bevorzugte Methode.
- Öffnen Sie eine Administrator-Eingabeaufforderung.
- Legen Sie die folgenden Variablen fest:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Beispiel:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Verwenden Sie OpenSSL, um das CA-Zertifikat (oder die Zertifikatskette) vom Domainserver abzurufen:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Das CA-Zertifikat ist in -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- eingeschlossen. Wenn ein Kettenzertifikat verwendet wird, werden mehrere Zertifikate angezeigt: Die ersten sind Zwischenzertifikate und das letzte ist die Stammzertifizierungsstelle.
- Einzelnes Zertifikat: Kopieren Sie das Zertifikat einschließlich -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und legen Sie es in einer Datei namens RCAcert.crt an einem Speicherort Ihrer Wahl ab.
- Zertifikatskette: Kopieren Sie jedes Zertifikat (einschließlich der Felder -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und fügen Sie sie in einzelne Dateien ein. Beispiel: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt und schließlich RCAcert.crt.
- Legen Sie Befehlszeilenvariablen für die Stammzertifizierungsstelle und alle Zwischenzertifikate fest (falls verwendet):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Beispiel:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Zertifikate importieren:
A. Wenn Sie eine Zertifikatkette verwenden, importieren Sie jedes Zertifikat in der Kette, die zum RCA führt. Wenn nur eine einzige Stammzertifizierungsstelle verwendet wird, importieren Sie die Stammzertifizierungsstelle.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Sie werden aufgefordert, das Zertifikat im cacerts-Keystore zu akzeptieren.
B. Wenn Sie über einen doppelten Alias (vorheriges, abgelaufenes Zertifikat) informiert werden, löschen Sie das vorhandene Zertifikat mit demselben Alias:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Wiederholen Sie Schritt A, nachdem das alte Zertifikat entfernt wurde.
- Starten Sie die NetWorker-Serverservices neu. Durch den Neustart von Services wird die cacerts-Datei während des authc-Starts neu geladen. Wenn die NetWorker-Services nach dem Importieren der Zertifikate nicht neu gestartet werden, schlägt der Prozess zum Konfigurieren der externen Zertifizierungsstelle in NetWorker mit einem zertifikatbezogenen Fehler fehl.
net stop nsrd net start nsrd
Erstellen einer externen Autoritätsressource „AD over SSL“ über NWUI.
- Greifen Sie über einen Webbrowser auf den NWUI-Server zu: https://nwui-server-name:9090/nwui
- Melden Sie sich mit dem NetWorker-Administratorkonto an.
- Erweitern Sie im Menü die Option Authentifizierungsserver und klicken Sie auf Externe Zertifizierungsstellen.
- Klicken Sie unter „Externe Zertifizierungsstellen“ auf Hinzufügen+.
- Füllen Sie die Konfigurationsfelder aus:
Basiskonfiguration
|
Feld
|
Wert
|
|
Name
|
Ein beschreibender Name ohne Leerzeichen für die LDAP- oder AD-Konfiguration. Die maximale Anzahl von Zeichen beträgt 256. Geben Sie ASCII-Zeichen nur im Konfigurationsnamen an.
|
|
Servertyp
|
AD over SSL
|
|
Anbieter-Servername
|
Gibt den Hostnamen oder die IP-Adresse des Active Directory Servers an
|
|
Schnittstelle
|
Port 636 wird für SSL verwendet. Dieses Feld sollte automatisch ausgefüllt werden, wenn „AD over SSL“ ausgewählt ist.
|
|
Mandant
|
Wählen Sie den Mandanten aus, sofern konfiguriert. Wenn kein Mandant konfiguriert oder erforderlich ist, können Sie die Option „default“ verwenden.
Die Konfiguration eines Mandanten erfordert die folgende Anmeldesyntax „tenant_name\domain_name\user_name“. Wenn der Standardmandant verwendet wird (allgemein), lautet die Anmeldesyntax „domain_name\user_name“. Mandant: Organisationscontainer der obersten Ebene für den NetWorker-Authentifizierungsservice. Jede externe Authentifizierungsstelle in der lokalen Datenbank wird einem Mandanten zugewiesen. Ein Mandant kann eine oder mehrere Domains enthalten, aber die Domainnamen müssen innerhalb des Mandanten eindeutig sein. Der NetWorker-Authentifizierungsservice erstellt den integrierten Mandantennamen „Default“, der die Standarddomain enthält. Das Erstellen mehrerer Mandanten erleichtert Ihnen die Verwaltung komplexer Konfigurationen. Beispielsweise können Serviceanbieter mit eingeschränkten Datenzonen (RDZ) mehrere Mandanten erstellen, um isolierte Data-Protection-Services für MandantennutzerInnen bereitzustellen. |
|
Domäne
|
Der vollständige Domainname einschließlich aller DC-Werte; z. B.: example.com
|
|
Nutzer-DN
|
Gibt den vollständigen Distinguished Name (DN) eines Nutzerkontos an, das vollständigen Lesezugriff auf das AD-Verzeichnis hat
|
|
Nutzer-DN-Kennwort
|
Gibt das Kennwort des Nutzerkontos an, das für den Zugriff auf und das Lesen von AD Direct verwendet wird
|
Erweiterte Konfiguration
|
Gruppenobjektklasse
|
Obligatorisch. Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
● Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames ● Verwenden Sie für AD group |
|
Gruppensuchpfad (optional)
|
Ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der LDAP- oder AD-Hierarchie verwenden soll.
|
|
Gruppenname-Attribut
|
Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
|
|
Group Member Attribute
|
Die Gruppenmitgliedschaft des Nutzers innerhalb einer Gruppe:
● Für LDAP:
○ Wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut in der Regel member.
○ Wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut in der Regel uniquemember.
● Bei AD ist der Wert in der Regel member.
|
|
Benutzerobjektklasse
|
Die Objektklasse, die NutzerInnen in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: person.
|
|
Benutzersuchpfad (optional)
|
Der DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach NutzerInnen in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad an, der relativ zum Basis-DN ist, den Sie in der Option configserver-address angegeben haben. Geben Sie beispielsweise für AD cn=users an.
|
|
Benutzer-ID-Attribut
|
Die Nutzer-ID, die dem Nutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
Für LDAP ist dieses Attribut in der Regel uid. Für AD ist dieses Attribut in der Regel sAMAccountName. |
HINWEIS: Wenden Sie sich an die AD/LDAP-Administration, um zu bestätigen, welche AD-/LDAP-spezifischen Felder für Ihre Umgebung erforderlich sind.
- Wenn Sie fertig sind, klicken Sie auf Speichern.
- Eine Zusammenfassung der konfigurierten externen Autoritätsressource sollte nun angezeigt werden:
- Bearbeiten Sie im Menü Server > Benutzergruppen die Benutzergruppen, die die Rechte enthalten, die Sie an AD-/LDAP-Gruppen oder ‑NutzerInnen übertragen möchten. Um beispielsweise vollständige Administratorrechte zu gewähren, muss der AD-Gruppen-/Nutzer-DN im Feld „Externe Rollen“ der Rollen Application Administrators und Security Administrators angegeben werden.
Beispiel: CN=NetWorker_Admins,DC=amer,DC=lan
Dies kann auch über die Befehlszeile erfolgen:
nsraddadmin -e "Distinguished_Name"
Beispiel:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Sobald die AD-Gruppen- und/oder Nutzer-DNs angegeben wurden, klicken Sie auf Speichern.
- Melden Sie sich von der NWUI-Schnittstelle ab und melden Sie sich mit dem AD-Konto wieder an:
- Das Nutzersymbol in der oberen rechten Ecke zeigt an, welches Nutzerkonto angemeldet ist.
Additional Information
Bestätigen des für die NetWorker-Authentifizierung verwendeten AUTHC-Servers
Die Datei gstd.conf des NMC-Servers (NetWorker Management Console) zeigt an, welcher Host zum Verarbeiten von Anmeldeanforderungen verwendet wird:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Überprüfen Sie die Datei auf den Wert authsvc_hostname. Der authsvc_hostname ist der authc-Server (Authentifizierungsserver).
So überprüfen Sie die AD-Gruppenmitgliedschaft und rufen die DN-Werte (Distinguished Name) ab, die für NetWorker-Berechtigungen erforderlich sind:
Sie können den Befehl authcmgmt auf dem NetWorker-Server verwenden, um zu bestätigen, dass die AD/LDAP-Gruppen/‑NutzerInnen sichtbar sind:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Beispiel:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
HINWEIS: Auf einigen Systemen können die Befehle
authc mit dem Fehler „falsches Kennwort“ fehlschlagen, selbst wenn das richtige Kennwort angegeben wurde. Dies liegt daran, dass das Kennwort als sichtbarer Text mit der Option -p verwendet wird. Wenn Sie auf dieses Problem stoßen, entfernen Sie -p password aus den Befehlen. Sie werden aufgefordert, das Kennwort einzugeben, das nach dem Ausführen des Befehls verborgen ist.
Weitere relevante Artikel:
- NetWorker: Einrichten von LDAP/AD mithilfe der authc_config-Skripte
- NetWorker: Einrichten der AD/LDAP-Authentifizierung
- NetWorker: Zurücksetzen des Administratorkennworts
- NetWorker: Die LDAPS-Integration schlägt fehl mit der Meldung „Beim Versuch, eine Verbindung zum LDAPS-Server herzustellen, ist ein SSL-Handshake-Fehler aufgetreten: Es konnte kein gültiger Zertifizierungspfad zum angeforderten Ziel gefunden werden.“
- NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für „Authc“ und „NWUI“ (Linux)
- NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für „Authc“ und „NWUI“ (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.