NetWorker: AD over SSL (LDAPS) -sovelluksen määrittäminen NetWorkerin verkkokäyttöliittymässä (NWUI)
Summary: Tässä tietämyskannan artikkelissa on ohjeet AD over SSL (LDAPS) -mallin määrittämiseen NetWorker Web User Interface (NWUI) -käyttöliittymässä.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Määritä SSL-todennus tuomalla varmenteiden päämyöntäjä (tai CA-ketju) NetWorkerin authc-palvelimen käyttämään cacerts-tiedostoon. Yksittäisissä NetWorker-palvelinympäristöissä palvelin on todennuspalvelin. Suuremmissa tietovyöhykkeissä yksi autHC-palvelin voi olla useiden palvelimien ensisijainen todennuspalvelin. Katso lisätietoja authc-palvelimen tunnistamisesta Lisätiedot-kentästä.
AUTHC:n määrittäminen käyttämään SSL:ää
Linux NetWorker -palvelimet:
- Avaa SSH-istunto NetWorker authc -palvelimeen.
- Vaihda pääkäyttäjään:
$ sudo su -
- Hae CA-varmenne (tai varmenneketju) toimialuepalvelimesta OpenSSL:n avulla:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA-varmenne sisältyy kohtiin -----BEGIN CERTIFICATE ----- ja -----END CERTIFICATE-----. Jos käytetään ketjuvarmennetta, useita varmenteita, joista ensimmäiset luetellut varmenteet ovat välivarmenteita ja viimeinen luettelossa oleva varmenne on päävarmenteiden myöntäjä.
- Yksi varmenne: Kopioi varmenne, mukaan lukien -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- ja sijoita se RCAcert.crt-nimiseen tiedostoon valitsemaasi paikkaan.
- Varmenneketju: Kopioi kukin varmenne (mukaan lukien niiden -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- -kentät) ja laita ne yksittäisiin tiedostoihin. Esimerkiksi ICA3cert.crt, ICA2cert.crt, ICA1cert.crt ja lopuksi RCAcert.crt.
- Voit helpottaa prosessia määrittämällä seuraavat komentorivimuuttujat:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Esimerkki:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Tuo todistukset:
A. Kun käytät varmenneketjua, tuo kukin varmenne juurivarmenteeseen (RCA) johtavassa ketjussa. Jos käytössä on vain yksi varmenteiden päämyöntäjä, tuo varmenteiden myöntäjän juuri.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Saat kehotteen hyväksyä varmenne cacerts-avainsäilöön.
B. Jos saat ilmoituksen päällekkäisestä aliaksesta (edellinen, vanhentunut varmenne), poista olemassa oleva varmenne samalla aliaksella:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Toista vaihe A, kun vanha varmenne on poistettu.
- Käynnistä NetWorker-palvelinpalvelut uudelleen. Palvelujen uudelleenkäynnistys lataa cacerts-tiedoston uudelleen authc-käynnistyksen yhteydessä. Jos NetWorker-palveluita ei käynnistetä uudelleen varmenteiden tuonnin jälkeen, ulkoisen myöntäjän määritysprosessi NetWorkerissa epäonnistuu varmenteeseen liittyvän virheen vuoksi.
# nsr_shutdown # systemctl start networker
Windows NetWorker -palvelimet:
HUOMAUTUS: Käytä OpenSSL:ää muodostaaksesi yhteyden verkkotunnuspalvelimeen ja hankkiaksesi CA-varmenteen (tai ketjun), jota tarvitaan AD:hen SSL:n kautta. Windows-palvelimet eivät oletusarvoisesti sisällä OpenSSL: ää; Se voidaan kuitenkin asentaa. Vaihtoehtoisesti verkkotunnuksen järjestelmänvalvoja voi OpenSSL:n käyttämisen sijaan antaa CA-varmenteen (ja mahdollisen ketjun). Ne on toimitettava PEM-muodossa. OpenSSL: n käyttäminen suoraan todennuspalvelimelta on suositeltava tapa.
- Avaa järjestelmänvalvojan komentokehote.
- Määritä seuraavat muuttujat:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Esimerkki:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Hae CA-varmenne (tai varmenneketju) toimialuepalvelimesta OpenSSL:n avulla:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA-varmenne sisältyy kohtiin -----BEGIN CERTIFICATE ----- ja -----END CERTIFICATE-----. Jos käytetään ketjuvarmennetta, näkyviin tulee useita varmenteita: ensimmäinen on välivarmenteita ja viimeinen on päämyöntäjä.
- Yksi varmenne: Kopioi varmenne, mukaan lukien -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- ja sijoita se RCAcert.crt-nimiseen tiedostoon valitsemaasi paikkaan.
- Varmenneketju: Kopioi kukin varmenne (mukaan lukien niiden -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE----- -kentät) ja laita ne yksittäisiin tiedostoihin. Esimerkiksi ICA3cert.crt, ICA2cert.crt, ICA1cert.crt ja lopuksi RCAcert.crt.
- Määritä komentorivimuuttujat päämyöntäjälle ja mahdolliselle välivarmenteelle (jos käytössä):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Esimerkki:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Tuo todistukset:
A. Kun käytät varmenneketjua, tuo kukin varmenne RCA:han johtavassa ketjussa. Jos käytössä on vain yksi varmenteiden päämyöntäjä, tuo varmenteiden myöntäjän juuri.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Saat kehotteen hyväksyä varmenne cacerts-avainsäilöön.
B. Jos saat ilmoituksen päällekkäisestä aliaksesta (edellinen, vanhentunut varmenne), poista olemassa oleva varmenne samalla aliaksella:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Toista vaihe A, kun vanha varmenne on poistettu.
- Käynnistä NetWorker-palvelinpalvelut uudelleen. Palvelujen uudelleenkäynnistys lataa cacerts-tiedoston uudelleen authc-käynnistyksen yhteydessä. Jos NetWorker-palveluita ei käynnistetä uudelleen varmenteiden tuonnin jälkeen, ulkoisen myöntäjän määritysprosessi NetWorkerissa epäonnistuu varmenteeseen liittyvän virheen vuoksi.
net stop nsrd net start nsrd
Ulkoisen AD over SSL -resurssin luominen NWUI:sta.
- Avaa selaimella NWUI-palvelin: https:// nwui-server-name:9090/nwui
- Kirjaudu NetWorker Administrator -tilillä.
- Laajenna valikosta Todennuspalvelin ja valitse Ulkoiset myöntäjät.
- Valitse Ulkoiset myöntäjät -kohdassa Add+.
- Täytä määrityskentät:
Peruskokoonpano
|
Pelto
|
Arvo
|
|
Nimi
|
Kuvaava nimi ilman välilyöntejä LDAP- tai AD-määrityksille. Merkkien enimmäismäärä on 256. Määritä ASCII-merkit vain kokoonpanon nimessä.
|
|
Palvelimen tyyppi
|
AD SSL:n kautta
|
|
Palveluntarjoajan palvelimen nimi
|
Määrittää Active Directory -palvelimen isäntänimen tai IP-osoitteen
|
|
Portti
|
SSL:ssä käytetään porttia 636. Tämän kentän pitäisi täyttyä automaattisesti, jos valittuna on AD over SSL.
|
|
Vuokralainen
|
Valitse vuokraaja, jos se on määritetty. Jos vuokraajaa ei ole määritetty tai vaadittu, voit käyttää oletusasetusta.
Vuokraajan määrittäminen edellyttää seuraavaa kirjautumissyntaksia: tenant_name\domain_name\user_name. Jos käytetään oletusvuokraajaa (yleinen), kirjautumissyntaksi on domain_name\user_name. Vuokraaja – NetWorker-todennuspalvelun ylätason organisaatiosäilö. Jokainen paikallisen tietokannan ulkoinen todentamisviranomainen määritetään vuokraajalle. Vuokraaja voi sisältää yhden tai useamman toimialueen, mutta toimialuenimien on oltava yksilöllisiä vuokraajassa. NetWorker-todennuspalvelu luo yhden integroidun vuokraajan nimen Default, joka sisältää oletustoimialueen. Useiden vuokraajien luominen auttaa monimutkaisten kokoonpanojen hallinnassa. Esimerkiksi palveluntarjoajat, joilla on rajoitetut tietovyöhykkeet (RDZ), voivat luoda useita vuokraajia tarjotakseen eristettyjä tietosuojapalveluja vuokraajan käyttäjille. |
|
Domain
|
Koko toimialuenimi, joka sisältää kaikki DC-arvot; Esimerkiksi: example.com
|
|
Käyttäjä DN
|
Määrittää sellaisen käyttäjätilin täydellisen yksilöivän nimen (DN), jolla on täydet lukuoikeudet AD-hakemistoon
|
|
Käyttäjän DN-salasana
|
Määrittää sen käyttäjätilin salasanan, jota käytetään AD:n suoran käytön ja lukemisen määrittämiseen
|
Lisäasetukset
|
Ryhmäobjektiluokka
|
Pakollinen. Objektiluokka, joka tunnistaa LDAP- tai AD-hierarkian ryhmät.
● Käytä LDAP: ssä groupOfUniqueNames tai groupOfNames ● Käytä AD: ssä group-ryhmää |
|
Ryhmähakupolku (valinnainen)
|
DN, joka määrittää hakupolun, jota todennuspalvelu käyttää etsiessään ryhmiä LDAP- tai AD-hierarkiasta.
|
|
Ryhmän nimi -määrite
|
Määrite, joka yksilöi ryhmän nimen; Esimerkiksi cn.
|
|
Ryhmän jäsenen määrite
|
Käyttäjän ryhmän jäsenyys:
● LDAP: lle:
○ Kun Group Object Class on groupOfNames , attribuutti on yleisesti jäsen.
○ Kun Group Object Class on groupOfUniqueNames , määrite on yleensä uniquemember.
● AD: lle arvo on yleensä jäsen.
|
|
Käyttäjäobjektiluokka
|
Objektiluokka, joka tunnistaa käyttäjät LDAP- tai AD-hierarkiassa. Esimerkiksi henkilö.
|
|
Käyttäjän hakupolku (valinnainen)
|
DN, joka määrittää hakupolun, jota todennuspalvelu käyttää etsiessään käyttäjiä LDAP- tai AD-hierarkiasta. Määritä hakupolku, joka on suhteessa configserver-address-asetuksessa määritettyyn DN-perusnumeroon. Määritä esimerkiksi AD:lle cn=users.
|
|
User ID -määrite
|
Käyttäjätunnus, joka liittyy käyttäjäobjektiin LDAP- tai AD-hierarkiassa.
LDAP:ssä tämä määrite on yleisesti uid. AD:lle tämä määrite on yleisesti sAMAccountName. |
HUOMAUTUS: Tarkista AD-/LDAP-järjestelmänvalvojalta, mitä AD-/LDAP-kenttiä ympäristössäsi tarvitaan.
- Kun olet valmis, klikkaa Tallenna-painiketta.
- Määritetyn ulkoisen käyttäjän resurssin yhteenvedon pitäisi nyt näkyä:
- Muokkaa Palvelimen >käyttäjäryhmät -valikossa käyttäjäryhmiä, jotka sisältävät AD-/LDAP-ryhmille tai käyttäjille siirrettävät oikeudet. Voit myöntää täydet järjestelmänvalvojan oikeudet määrittämällä AD-ryhmän/käyttäjän DN:n sovellusten järjestelmänvalvojien ja suojauksen järjestelmänvalvojien roolien Ulkoiset roolit -kentässä.
esimerkiksi CN=NetWorker_Admins,DC=amer,DC=lan
Tämä voidaan tehdä myös komentoriviltä:
nsraddadmin -e "Distinguished_Name"
Esimerkki:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Kun AD-ryhmä tai käyttäjän DN:t on määritetty, valitse Save.
- Kirjaudu ulos NWUI-käyttöliittymästä ja kirjaudu takaisin sisään AD-tilillä:
- Oikeassa yläkulmassa oleva käyttäjäkuvake osoittaa, mille käyttäjätilille on kirjauduttu.
Additional Information
NetWorker-todennukseen
käytetyn AUTHC-palvelimen vahvistaminenNetWorker Management Console (NMC) -palvelimen gstd.conf-tiedosto näyttää, mitä isäntää käytetään kirjautumispyyntöjen käsittelyyn:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Tarkista, onko tiedostossa authsvc_hostname arvo. authsvc_hostname on authc (todennus) -palvelin.
AD-ryhmän jäsenyyden tarkistaminen ja NetWorker-käyttöoikeuksiin tarvittavien yksilöivän nimen (DN) arvojen hakeminen:
Voit käyttää authcmgmt NetWorker-palvelimen komento, jolla varmistetaan, että AD/LDAP-ryhmät/käyttäjät ovat näkyvissä:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Esimerkki:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
HUOMAUTUS: Joissakin järjestelmissä
authc Komennot voivat epäonnistua ja antaa väärän salasanan, vaikka oikea salasana annettaisiin. Tämä johtuu siitä, että salasana on määritetty näkyväksi tekstiksi -p -vaihtoehto. Jos kohtaat tämän, poista -p password komennoista. Sinua pyydetään antamaan piilotettu salasana komennon suorittamisen jälkeen.
Muita asiaa koskevia artikkeleita:
- NetWorker: LDAP:n/AD:n määrittäminen authc_config-skriptien avulla
- NetWorker: AD/LDAP-todennuksen määrittäminen
- NetWorker: Järjestelmänvalvojan salasanan vaihtaminen
- NetWorker: LDAPS-integrointi epäonnistuu ja ilmoittaa: "SSL-kättelyvirhe yritettäessä muodostaa yhteyttä LDAPS-palvelimeen: Kelvollista sertifiointipolkua pyydettyyn kohteeseen ei löydy"
- NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen authc- ja NWUI-varmenteilla (Linux)
- NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen Authc- ja NWUI-varmenteilla (Windows)
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 09 Sept 2025
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.