NetWorker: Så här använder du authc_config skript för att konfigurera LDAPS-autentisering
概要: Allmän översikt över konfiguration av AD/LDAP-autentisering över LDAPS med netWorker-authc_config skript. Detta kan även användas vid uppgradering/konvertering av en befintlig LDAP-konfiguration till LDAPS. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
手順
Den här kunskapsdatabasartikeln fokuserar främst på vad som behövs för att konfigurera LDAPS, för en bredare förklaring av vad som krävs för att integrera AD/LDAP med NetWorker se: NetWorker: Så här konfigurerar du AD/LDAP-autentisering
Obs! Extern behörighet kan konfigureras från NetWorker Management Console och NetWorker-webbanvändargränssnittet (NWUI); Men att konfigurera Active Directory över LDAPS rekommenderas i allmänhet att använda authc_config-skriptet eller NWUI (19.7 och senare). Konfigurationsalternativet för NMC erbjuder endast "LDAP via SSL"; Om det här alternativet används anges "Active Directory: false". Det här alternativet förväntar sig att autentiseringsservern är LDAP istället för Microsoft Active Directory. Det leder till misslyckade inloggningar. Den process som beskrivs i den här kunskapsdatabasartikeln innehåller information om hur du konfigurerar LDAPS med hjälp av skriptet authc_configure. NWUI (19.7 och senare) har ett "AD over SSL"-alternativ. NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Vi rekommenderar att AD/LDAP-konfigurationen först fungerar över LDAP och sedan konverterar den till LDAPS för att utesluta eventuella konfigurationsproblem.
För att kunna använda LDAPS måste du importera CA-certifikatet (eller certifikatkedjan) från LDAPS-servern till JAVA-säkerhetsnyckellagret. Detta kan göras med följande procedur:
1) Öppna en administrativ/rot-kommandotolk.
2,a) Visa en lista över aktuella betrodda certifikat i förtroendearkivet.
2,b) Granska listan för ett alias som matchar din LDAPS-server (det kanske inte finns). Du kan använda kommandon för OS grep/findstr med ovanstående kommando för att begränsa sökningen. Om det finns ett inaktuellt/befintligt CA-certifikat från din LDAPS-server tar du bort det med följande kommando:
3,a) Använd OpenSSL-verktyget för att få en kopia av CA-certifikatet från LDAPS-servern.
3,b) Ovanstående kommando ger utdata för CA-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
3,c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och avsluta med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
4) Importera certifikaten som har skapats i 3,c till NYCKELlagret för JAVA-förtroende:
5) Kontrollera att certifikatet visas i nyckellagret:
7.a) Uppdatera skriptet authc-create-ad-config (Active Directory) ELLER authc-create-ldap-config (LDAP) för att använda LDAPS:
8) Kontrollera att konfigurationen har uppdaterats:
Om du stöter på fel eller problem när du följer den här proceduren kontaktar du administratören för certifikatutfärdare för att se till att rätt certifikat används/hämtas.
Obs! Extern behörighet kan konfigureras från NetWorker Management Console och NetWorker-webbanvändargränssnittet (NWUI); Men att konfigurera Active Directory över LDAPS rekommenderas i allmänhet att använda authc_config-skriptet eller NWUI (19.7 och senare). Konfigurationsalternativet för NMC erbjuder endast "LDAP via SSL"; Om det här alternativet används anges "Active Directory: false". Det här alternativet förväntar sig att autentiseringsservern är LDAP istället för Microsoft Active Directory. Det leder till misslyckade inloggningar. Den process som beskrivs i den här kunskapsdatabasartikeln innehåller information om hur du konfigurerar LDAPS med hjälp av skriptet authc_configure. NWUI (19.7 och senare) har ett "AD over SSL"-alternativ. NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Vi rekommenderar att AD/LDAP-konfigurationen först fungerar över LDAP och sedan konverterar den till LDAPS för att utesluta eventuella konfigurationsproblem.
För att kunna använda LDAPS måste du importera CA-certifikatet (eller certifikatkedjan) från LDAPS-servern till JAVA-säkerhetsnyckellagret. Detta kan göras med följande procedur:
1) Öppna en administrativ/rot-kommandotolk.
2,a) Visa en lista över aktuella betrodda certifikat i förtroendearkivet.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Vanligtvis är den binära JAVA-platsen en del av miljövariabeln OS PATH så att "keytool" kan köras var som helst. Om operativsystemet inte kan hitta nyckelverktygs binärt. Kör keytool-kommandona från JAVA\bin-katalogen på din NetWorker-server.
- Ersätt JAVA_PATH med sökvägen till JAVA-installationen varierar sökvägsnamnet beroende på vilken JAVA-version som är installerad.
- På system med NetWorker Runtime Environment (NRE) installerat är detta vanligtvis:
- Linux: /opt/nre/java/latest/
- Windows: C:\Program\NRE\java\jre-###
- På system med NetWorker Runtime Environment (NRE) installerat är detta vanligtvis:
- Ersätt lösenord med JAVA-storepass. Standardvärdet är changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Granska listan för ett alias som matchar din LDAPS-server (det kanske inte finns). Du kan använda kommandon för OS grep/findstr med ovanstående kommando för att begränsa sökningen. Om det finns ett inaktuellt/befintligt CA-certifikat från din LDAPS-server tar du bort det med följande kommando:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Ersätt ALIAS_NAME med aliasnamnet på LDAPS-servern som hämtades från utdata i 2 a.
3,a) Använd OpenSSL-verktyget för att få en kopia av CA-certifikatet från LDAPS-servern.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Som standard innefattar inte Windows-värdarna OpenSL-programmet. Om det inte går att installera OpenSSL på NetWorker-servern kan certifikaten exporteras direkt från LDAPS-servern. Vi rekommenderar dock starkt att du använder OpenSSL-verktyget.
- Såvida inte sökvägen till OpenSSL-binärkatalogen är en del av miljövariabeln OS PATH måste du köra OpenSSL-kommandona från deras binära plats.
- Om du inte har OpenSSL och den inte kan installeras tillhandahåller AD-administratören certifikaten genom att exportera dem som Base-64-kodat x.509-format.
- Ersätt LDAPS_SERVER med värdnamnet eller IP-adressen för LDAPS-servern.
3,b) Ovanstående kommando ger utdata för CA-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Obs! Om det finns en certifikatkedja är det sista certifikatet ca-certifikatet. Du måste importera varje certifikat i kedjan i ordning (uppifrån och ned) som slutar med CA-certifikatet.
3,c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och avsluta med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
4) Importera certifikaten som har skapats i 3,c till NYCKELlagret för JAVA-förtroende:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Ersätt ALIAS_NAME med ett alias för det importerade certifikatet. Vanligtvis är det här LDAPS-serverns namn. Om du behöver importera flera certifikat för en certifikatkedja måste varje certifikat ha ett annat ALIAS-namn och importeras separat. Certifikatkedjan måste också importeras i ordning från hur den visades i steg 3,a (uppifrån och ned).
- Ersätt JAVA_PATH med sökvägen till JAVA-installationen varierar sökvägsnamnet beroende på vilken JAVA-version som är installerad.
- Ersätt lösenord med JAVA-storepass. Standardvärdet är changeit.
- Ersätt PATH_TO\CERT_FILE med platsen för certifikatfilen som du skapade i steg 3,c.
- Du uppmanas att importera certifikatet, skriva ja och trycka på Retur.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Kontrollera att certifikatet visas i nyckellagret:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
Obs! Ange kommandot grep eller findstr för operativsystemet (|) i ovanstående kommando för att begränsa resultatet.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Starta om NetWorker-servertjänsterna.
Linux:
Linux:
nsr_shutdown
service networker-start
Windows: net stop nsrd
net start nsrd
Windows: net stop nsrd
net start nsrd
Obs! Om NetWorker-servertjänsterna inte startas om kommer authc inte att läsa cacerts-filen och den identifierar inte de importerade certifikat som krävs för att upprätta SSL-kommunikation med LDAP-servern.
Plats:
| Linux | /opt/nsr/authc-server/scripts/ |
| Windows | [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
Obs! Om du lägger till en ny konfiguration bör "-e add-config" användas om du uppdaterar en befintlig konfiguration bör "-e update-config" användas. På adressraden config-server-address anger du protokollet "ldaps" (måste vara gemener) och port "636".
7,b) Kör skriptet från kommandoraden. Den bör rapportera att konfigurationen har uppdaterats/lagts till korrekt.
8) Kontrollera att konfigurationen har uppdaterats:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- Du uppmanas att ange NetWorker-administratörslösenordet med varje kommando. Kommandot kan köras med flaggan "-p password", men det kan misslyckas på vissa operativsystem på grund av att rensa textlösenord används.
- Ersätt CONFIG_ID med det konfigurations-ID som samlats in med det första kommandot:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
Servern autentiseras nu med AD/LDAP via LDAPS.
Om du stöter på fel eller problem när du följer den här proceduren kontaktar du administratören för certifikatutfärdare för att se till att rätt certifikat används/hämtas.
その他の情報
Oavsett om du använder Windows Active Directory eller Linux LDAP (t.ex.: OpenLDAP) används LDAP-protokollet för autentisering. LDAP (Lightweight Directory Application Protocol) och Secure LDAP (LDAPS) är de anslutningsprotokoll som används mellan programmet och nätverkskatalogen eller domänkontrollanten i infrastrukturen.
LDAP överför kommunikation med klartext och LDAPS-kommunikation är krypterad och säker.
LDAP överför kommunikation med klartext och LDAPS-kommunikation är krypterad och säker.
対象製品
NetWorker製品
NetWorker文書のプロパティ
文書番号: 000020799
文書の種類: How To
最終更新: 28 3月 2025
バージョン: 6
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。