NetWorker:LDAPS認証を構成する方法
Resumen: NMCの外部認証局ウィザードを使用してNetWorkerでADまたはSecure Lightweight Directory Access Protocol (LDAPS)を構成する方法の概要について説明します。このKBは、既存の外部認証局の構成を更新する手順にも使用できます。
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Instrucciones
この記事は、次のセクションに分割されています。続行する前に、各セクションを慎重に確認してください。
前提条件:
- どのホストが
authcサーバーであるかを確認します。これは、大規模なNetWorkerデータゾーンで役立ちます。単一のNetWorkerサーバーを含む小規模なデータゾーンでは、NetWorkerサーバーが認証サーバーになります。 - 認証サービスに使用するJava Runtime Environmentを確認します。
- NetWorker外部認証によるSSLに使用されるCA証明書をインポートできるように、コマンドライン変数を設定します。
SSLのセットアップ:
- LDAPS認証に使用する証明書を、認証サービスのランタイム環境の
cacertsキーストアにインポートします。
外部認証局リソースの構成:
- 認証サービスの外部認証局リソースを作成します。
- NetWorkerで使用する外部ユーザーまたはグループを決定します。
- NetWorker Management Console (NMC)へのアクセス権を持つ外部ユーザーまたはグループを定義します。
- 外部ユーザーおよびグループに付与するNetWorkerサーバー権限を定義します。
- (オプション)外部ユーザーまたはグループのFULL_CONTROLセキュリティ権限を構成します。
前提条件:
LDAPSを使用するには、CA証明書(または証明書チェーン)をLDAPSサーバーからNetWorker認証サーバーのJava cacertsキーストアにインポートする必要があります。
- NetWorker認証サーバーがどのホストであるかを確認します。これは、NetWorker Management Console (NMC)サーバーのgstd.confファイルで検証できます。
Linuxの場合
Windowsの場合:
/opt/lgtonmc/etc/gstd.conf
Windowsの場合:
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
メモ: 「
gstd.conf 」ファイルには「 authsvc_hostname 」文字列が含まれます。これにより、NetWorker Management Console (NMC)のログイン リクエストを処理するために使用される認証サーバーが定義されます。
- NetWorker認証サーバーで、使用されているJavaインスタンスを特定します。
Windowsの場合:
A. Windowsの検索バーで[バージョン情報]を検索します
B.[バージョン情報]から[システムの詳細設定]をクリックします。
C.[システムのプロパティ]から、[環境変数]をクリックします。
D.「
B.[バージョン情報]から[システムの詳細設定]をクリックします。
C.[システムのプロパティ]から、[環境変数]をクリックします。
D.「
NSR_JAVA_HOME 」は、NetWorkerの authcが使用するJava Runtime Environmentへのパスを定義します。
-
- E. 管理コマンド プロンプトから、前述の手順で確認したJavaインストール パスを指定するコマンドライン変数を設定します。
set JAVA="Path\to\java"
Example:
java
keytool コマンド(「SSLのセットアップを参照)を使用して、正しい cacerts ファイルでCA証明書がインポートされることを確認します。この変数は、コマンドライン セッションが終了すると削除され、他のNetWorker操作に干渉しません。
Linuxの場合
A. /nsr/authc/conf/installrc ファイルをチェックして、認証サービスの構成時に使用されたJavaの場所を確認します。
sudo cat /nsr/authc/conf/installrc
Example:
[root@nsr ~]# cat /nsr/authc/conf/installrc JAVA_HOME=/opt/nre/java/latest
メモ: この変数は、NetWorkerプロセスにのみ適用されます。ただし、
echo $JAVA_HOME が別のパスを返す場合があります。例えば、Oracle Java Runtime Environment (JRE)もインストールされている場合などです。次のステップでは、 $JAVA_HOME パス(NetWorkerの /nsr/authc/conf/installrc ファイルで定義)を使用することが重要です。
B. 前述の手順で確認したJavaインストール パスを指定するコマンドライン変数を設定します。
JAVA=/path/to/java
Example:
java
keytool コマンド(「SSLのセットアップを参照)を使用して、正しい cacerts ファイルでCA証明書がインポートされることを確認します。この変数は、コマンドライン セッションが終了すると削除され、他のNetWorker操作に干渉しません。
SSLのセットアップ
LDAPSを使用するには、LDAPSサーバーからJAVAトラスト キーストアにCA証明書(または証明書チェーン)をインポートする必要があります。これは、次の手順に従って実行できます。
メモ: 以下のプロセスでは、「前提条件」セクションに従って設定されたコマンドライン変数を使用します。コマンドライン変数が設定されていない場合は、代わりに完全なJavaパスを指定します。
1.管理/rootコマンド プロンプトを開きます。
2.トラスト ストア内の現在信頼されている証明書のリストを表示します。
2.トラスト ストア内の現在信頼されている証明書のリストを表示します。
Windowsの場合:
%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linuxの場合
$JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
3.リストで、使用しているLDAPSサーバーに一致するエイリアスを確認します(存在しない可能性があります)。オペレーティング システムの
grep または findstr コマンドを前掲のコマンドで使用して、検索を絞り込むことができます。LDAPSサーバーからの古いCA証明書または既存のCA証明書がある場合は、次のコマンドを使用して削除します。
Windowsの場合:
%JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linuxの場合
$JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
メモ: ALIAS_NAMEを手順2の古い証明書または期限切れの証明書のエイリアス名に置き換えます。
4.OpenSSLツールを使用して、LDAPSサーバーからCA証明書のコピーを取得します。
openssl s_client -showcerts -connect LDAPS_SERVER:636
- デフォルトでは、Windowsホストには
opensslプログラムは含まれません。NetWorkerサーバーにOpenSSLをインストールできない場合は、証明書をLDAPSサーバーから直接エクスポートできます。ただし、OpenSSLユーティリティーを使用することを強くお勧めします。 - Linuxには通常、
opensslがインストールされています。環境内にLinuxサーバーが存在する場合は、opensslを使用して証明書ファイルを収集できます。これらは、Windowsのauthcサーバーであるかを確認します。 - OpenSSLがなく、インストールできない場合は、AD管理者に、Base-64エンコード済みx.509形式でそれらをエクスポートして、1つ以上の証明書を提供してもらいます。
- LDAPS_SERVERをLDAPSサーバーのホスト名またはIPアドレスに置き換えます。
5.前述のコマンドは、CA証明書または証明書チェーンをPrivacy Enhanced Mail (PEM)形式で出力します。例:
-----BEGIN CERTIFICATE----- MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs ... 7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm m4mGyefXz4TBTwD06opJf4NQIDo= -----END CERTIFICATE-----
メモ: 証明書チェーンがある場合は、最後の証明書がCA証明書になります。チェーン内の各証明書は、CA証明書を最後にした順番で(トップダウンで)インポートする必要があります。
6.証明書を
7.JAVAトラスト キーストアに作成された証明書または証明書ファイルをインポートします。
---BEGIN CERTIFICATE--- から ---END CERTIFICATE--- までコピーします。次に、新しいファイルにそれを貼り付けます。証明書チェーンがある場合は、証明書ごとにこれを行う必要があります。
7.JAVAトラスト キーストアに作成された証明書または証明書ファイルをインポートします。
Windowsの場合:
%JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
Linuxの場合
$JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
- ALIAS_NAMEをインポートされた証明書のエイリアス(RCA(ルートCA)など)に置き換えます。証明書チェーンに複数の証明書をインポートする場合、各証明書には異なるエイリアス名が必要であり、個別にインポートする必要があります。証明書チェーンも、手順5の順番で(トップダウンで)インポートする必要があります。
- PATH_TO\CERT_FILEを、手順6で作成した証明書ファイルの場所に置き換えます。
8.証明書をインポートするように求められたら、
yes と入力してEnterを押します。
C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer Owner: CN=networker-DC-CA, DC=networker, DC=lan Issuer: CN=networker-DC-CA, DC=networker, DC=lan Serial number: 183db0ae21d3108244254c8aad129ecd ... ... ... Trust this certificate? [no]: yes Certificate was added to keystore
9.証明書がキーストアに表示されていることを確認します。
Windowsの場合:
%JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linuxの場合
$JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
メモ: パイプ記号(
|)でオペレーティング システムの grep または findstr コマンドを上記に追加して、結果を絞り込みます。
C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA RCA, Jan 15, 2025, trustedCertEntry,
10.NetWorkerサーバー サービスを再起動します。
Windowsの場合:
net stop nsrd net start nsrd
Linuxの場合
nsr_shutdown service networker start
メモ: NetWorkerサーバー サービスを再起動して、authcによってcacertsファイルが読み取られ、インポートされた証明書が検出され、LDAPサーバーとのSSL通信が行われることを確認します。
外部認証局リソースの構成
このKBでは、NetWorker Management Console (NMC)を使用してLDAP over SSLを構成する方法について説明します。AD over SSLで構成する場合は、NetWorker Webユーザー インターフェイス(NWUI)を使用することをお勧めします。このプロセスの詳細については、次を参照してください。
または、 authc_config スクリプト メソッドを使用できます。
いずれかの記事に従った場合は、外部認証局リソースを作成するパートにスキップできます。証明書のインポート手順を繰り返す必要はありません。
メモ: このKBは、AD over SSLを構成する場合に従うことができます。ただし、追加の手順が必要です。これらの手順の概要を以下に示します。
1.NetWorker Management Console (NMC)にNetWorker管理者アカウントでログインします。[Setup]>[Users and Roles]>[External Authority]の順に選択します。
2.既存の外部認証局の構成を作成または変更し、[Server Type]ドロップダウンから[LDAP over SSL]を選択します。これにより、ポートが自動的に389から636に変更されます。
メモ: [Show Advanced Options]フィールドを展開し、認証サーバーに正しい値が設定されていることを確認します。フィールドと値を説明する表については、このKBの「Additional Info」フィールドを参照してください。
Active Directory over SSLの場合:
警告:Microsoft Active DirectoryでNMCの「LDAP over SSL」設定を使用すると、内部構成パラメーター「is active directory」が「false」に設定されます。これにより、NetWorkerでAD認証が正常に行われなくなります。このエラーを修正するには、次の手順を使用します。
A. Config IDの詳細を取得します。
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#
Example:
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1 AD
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : AD
Config Domain : networker.lan
Config Server Address : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : false
Config Search Subtree : true
B.
authc_config コマンドを使用して、 is-active-directory=yが使用するJava Runtime Environmentへのパスを定義します。
authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
メモ: これらのフィールドに必要な値は、手順Aから取得できます。
Example:
nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : AD
Config Domain : networker.lan
Config Server Address : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : true
Config Search Subtree : true
これで、外部認証局リソースがMicrosoft Active Directory用に正しく構成されました。
3.お使いのNetWorkerサーバーで
authc_mgmt コマンドを使用して、AD/LDAPグループ/ユーザーが表示されることを確認します。
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Example:
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan The query returns 40 records. User Name Full Dn Name ... ... bkupadmin CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan The query returns 71 records. Group Name Full Dn Name ... ... NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
メモ: システムによっては、正しいパスワードが指定されていても、
authc コマンドが「incorrect password」エラーで失敗することがあります。これは、パスワードが-pオプションを使用して可視テキストとして指定されているからです。この問題が発生した場合は、コマンドから-p passwordを削除します。コマンドを実行後、パスワードを非表示にして入力するように求められます。
外部認証を受け入れるようにNMCを構成するには、次の手順を実行します。
4.デフォルトのNetWorker管理者アカウントとしてNMCにログインしたら、[Setup]>[Users and Roles]>[NMC Roles]を開きます。「Console Application Administrators」ロールのプロパティを開き、[External Roles]フィールドにAD/LDAPグループの識別名
(DN)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「Console Security Administrators」ロールでAD/LDAPグループのDNを指定します。NMCコンソールに対する管理者権限を必要としないADユーザーまたはグループの場合は、「Console User」外部ロールで完全なDNを追加します。
(DN)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「Console Security Administrators」ロールでAD/LDAPグループのDNを指定します。NMCコンソールに対する管理者権限を必要としないADユーザーまたはグループの場合は、「Console User」外部ロールで完全なDNを追加します。
メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これは削除しないでください。
NetWorkerサーバーの外部ユーザー権限の構成:
5.NetWorkerサーバーにNMCから接続し、[Server]>[User Groups]を開きます。「Application Administrators」ロール プロパティの[External Roles]フィールドに、AD/LDAPグループの識別名(DN)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「Security Administrators」ロールでAD/LDAPグループDNを指定する必要があります。
メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これは削除しないでください。
または、
nsraddadmin を使用して、完全なNetWorker管理者権限を持つ必要がある外部ユーザー/グループに対してこれを実現することができます。
nsraddadmin -e "USER/GROUP_DN"Example:
nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan" 134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group. 134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
NMCへのアクセス:
NMCおよびNetWorkerサーバーへのアクセス権限が付与されている外部ユーザーとしてアクセスできる必要があります。
ログインすると、NMCの右上隅にユーザーが表示されます。
追加のセキュリティ権限
6.(オプション)AD/LDAPグループが外部認証局を管理できるようにするには、NetWorkerサーバーで次の操作を実行する必要があります。
A. 管理/rootコマンド プロンプトを開きます。
B.FULL_CONTROL権限を付与するADグループのDNを使用して、次を実行します。
B.FULL_CONTROL権限を付与するADグループのDNを使用して、次を実行します。
authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Example:
nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan" Permission FULL_CONTROL is created successfully. nve:~ # nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions The query returns 2 records. Permission Id Permission Name Group DN Pattern Group DN 1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$ 2 FULL_CONTROL CN=NetWorker_Admins,OU=DELL,dc=networ...
Información adicional
詳細については、次のサイトにある『NetWorker Security Configuration Guide』を参照してください:https://www.dell.com/support/home/product-support/product/networker/docs
構成値:
| [Server Type] | 認証サーバーがLinux/UNIX LDAPサーバーの場合は[LDAP]を選択し、Microsoft Active Directoryサーバーを使用する場合は[Active Directory]を選択します。 |
| [Authority Name] | この外部認証局の名前を指定します。この名前は任意の名前にすることができます。これは、複数の認証局が構成されている場合に他の認証機関と区別するためのものです。 |
| [Provider Server Name] | このフィールドには、ADまたはLDAPサーバーの完全修飾ドメイン名(FQDN)を含める必要があります。 |
| [Tenant] | テナントは、複数の認証方法を使用する可能性がある環境や、複数の認証局を構成する必要がある場合に使用できます。デフォルトでは、「デフォルト」のテナントが選択されています。テナントを使用すると、ログイン方法が変更されます。デフォルトのテナントの場合は「domain\user」を、その他のテナントの場合は「tenant\domain\user」を使用してNMCにログインします。 |
| ドメイン | 完全なドメイン名(ホスト名を除く)を指定します。通常、これはドメインのドメイン コンポーネント(DC)値で構成されるベースDNです。 |
| ポート番号 | LDAPとADの統合には、ポート389を使用します。LDAP over SSLの場合は、ポート636を使用します。 これらのポートは、AD/LDAPサーバー上のNetWorker以外のデフォルト ポートです。 |
| [User DN]: | LDAPまたはADディレクトリーへの完全な読み取りアクセス権を持つユーザー アカウントの識別名(DN)を指定します。 ユーザー アカウントの相対DNを指定するか、ドメイン フィールドで設定された値をオーバーライドする場合は完全なDNを指定します。 |
| [User DN Password]: | 指定されたユーザー アカウントのパスワードを指定します。 |
| [Group Object Class] | LDAPまたはAD階層内のグループを識別するオブジェクト クラス。
|
| [Group Search Path] | このフィールドは空白のままにしておくことができます。その場合は、 authc を使用して、ドメイン全体を照会できます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理するには、NMC/NetWorkerサーバーへのアクセス権限を付与する必要があります。完全なDNではなく、ドメインへの相対パスを指定します。 |
| [Group Name Attribute] | グループ名を識別する属性。例 cn |
| [Group Member Attribute] | グループ内のユーザーのグループ メンバーシップ:
|
| [User Object Class] | LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。 例えば、 inetOrgPerson または user |
| [User Search Path] | [Group Search Path]と同様に、このフィールドは空白のままにすることができます。その場合、authcを使用してドメイン全体を照会できます。完全なDNではなく、ドメインへの相対パスを指定します。 |
| [User ID Attribute] | LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。
|
その他の関連記事:
Productos afectados
NetWorkerPropiedades del artículo
Número del artículo: 000156132
Tipo de artículo: How To
Última modificación: 17 jun 2025
Versión: 14
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.