Artikkelnummer: 000203005
NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Sammendrag: Denne KB-en inneholder informasjon om prosessen som kreves for å konfigurere «AD over SSL» (LDAPS) fra NetWorker Web User Interface (NWUI). Alternativet for å konfigurere eksterne myndighetsrepositorier fra NWUI ble gjort tilgjengelig i NetWorker 19.6.x og nyere. ...
Artikkelinnhold
Instruksjoner
For å kunne konfigurere en SSL-tilkobling for godkjenning må rot-CA (eller CA-kjeden når den brukes) importeres til cacerts-filen som brukes av NetWorkers godkjenningsprosess.
3, b) Kommandoen ovenfor sender CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks.
3, c) Kopier sertifikatet fra ---BEGIN-SERTIFIKAT--- og slutt med ---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
4) Importer sertifikatene eller sertifikatene som er opprettet i 3, c til JAVA Trust-nøkkellageret:
Linux: nsr_shutdown-tjenestenettverk
starter
Windows: net stop nsrd
net start nsrd
6. Når du er ferdig, klikker du på Save (Lagre).
7. Et sammendrag av den konfigurerte eksterne myndighetsressursen skal nå vises:
Konfigurere AUTHC til å bruke SSL
1) Åpne en administrator-/rotkommando i Java Bin-katalogen.- Hvis du bruker NetWorker Runtime Environment (NRE) for AUTHC-serverens Java-forekomst, er plasseringen:
- Linux: /opt/nre/java/latest/bin/
- Windows: C:\Programfiler\NRE\java\jrex. x. x_xxx\bin
- Hvis du bruker Oracle Java, kan filbanen variere avhengig av plasseringen som er installert, og Java-versjonen som brukes.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Standardpassordet for lagerpasset er changeit.
- På Windows-servere kjøres keytool-kommandoen fra Java Bin-katalogen, men ser omtrent slik ut:
- keytool -list -keystore .. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Erstatt ALIAS_NAME med aliasnavnet til LDAPS-serveren som ble samlet inn fra utdataene i 2, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Som standard inkluderer ikke Windows-verter opensl-programmet. Hvis det ikke er mulig å installere OpenSSL på NetWorker-serveren, kan sertifikatene eksporteres direkte fra LDAPS-serveren. Det anbefales imidlertid på det sterkeste å bruke OpenSSL-verktøyet.
- Linux leveres vanligvis med opensl installert. Hvis du har Linux-servere i miljøet, kan du bruke openssl der for å samle inn/opprette sertifikatfilene. Disse kan kopieres til og brukes på Windows-godkjenningsserveren.
- Hvis du ikke har OpenSSL, og den ikke kan installeres, kan AD-administratoren oppgi ett eller flere sertifikater ved å eksportere dem som basis-64-kodet x.509-format.
- Bytt ut LDAPS_SERVER med vertsnavnet eller IP-adressen til LDAPS-serveren.
3, b) Kommandoen ovenfor sender CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks.
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
MERK: Hvis det finnes en kjede av sertifikater, er det siste sertifikatet CA-sertifikatet. Du må importere hvert sertifikat i kjeden i rekkefølge (ovenfra og ned) og avslutte med CA-sertifikatet.
3, c) Kopier sertifikatet fra ---BEGIN-SERTIFIKAT--- og slutt med ---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
4) Importer sertifikatene eller sertifikatene som er opprettet i 3, c til JAVA Trust-nøkkellageret:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Bytt ut ALIAS_NAME med et alias for det importerte sertifikatet. Dette er vanligvis navnet på LDAPS-serveren. Når du importerer flere sertifikater for en sertifikatkjede, må hvert sertifikat ha et annet ALIAS-navn og importeres separat. Sertifikatkjeden må også importeres i rekkefølge fra trinn 3, a (ovenfra og ned).
- Erstatt PATH_TO\CERT_FILE med plasseringen av sertfilen du opprettet i trinn 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
MERK: Pipe (|) the operating system grep or findstr command to the above to narrow the result (Pipe (|) operativsystemet grep- eller findstr-kommandoen til ovennevnte for å begrense resultatet.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Start NetWorker-servertjenestene på nytt.
Linux: nsr_shutdown-tjenestenettverk
starter
Windows: net stop nsrd
net start nsrd
MERK: Hvis NetWorker-servertjenestene ikke startes på nytt, vil ikke authc lese cacerts-filen, og den vil ikke oppdage de importerte sertifikatene som kreves for å etablere SSL-kommunikasjon med LDAP-serveren.
Opprette en ekstern AD over SSL-ressurs fra NWUI
1. Gå til NWUI-serveren fra en nettleser:
https://nwui-server-name:9090/nwui2. Logg på med NetWorker Administrator-kontoen.
3. Utvid godkjenningsserveren fra menyen, og klikk på External Authorities (Eksterne myndigheter).
4. Fra eksterne myndigheter klikker du på Legg til+.
5. Fyll ut konfigurasjonsfeltene:
| Feltet | Value |
| Navn | Et beskrivende navn uten mellomrom for LDAP- eller AD-konfigurasjonen. Maksimalt antall tegn er 256. Angi kun ASCII-tegn i konfigurasjonsnavnet. |
| Servertype | AD over SSL |
| Leverandørservernavn | Angir vertsnavnet eller IP-adressen til Active Directory-serveren |
| Port | Port 636 brukes for SSL. Dette feltet skal fylles ut automatisk hvis AD over SSL er valgt. |
| Leietaker | Velg leietakeren hvis den er konfigurert. Hvis ingen leietaker er konfigurert eller nødvendig, kan du bruke standardinnstillingen. Konfigurering av en leietaker krever følgende påloggingssyntaks «tenant_name\domain_name\user_name». Hvis standardleietakeren brukes (vanlig), er påloggingssyntaksen «domain_name\user_name». Leietaker – organisasjonsbeholder på øverste nivå for NetWorker Authentication Service. Hver eksterne godkjenningsinstans i den lokale databasen er tilordnet en leietaker. En leietaker kan inneholde ett eller flere domener, men domenenavnene må være unike i leietakeren. NetWorker Authentication Service oppretter ett innebygd leietakernavn, som inneholder standarddomenet. Oppretting av flere leietakere hjelper deg med å administrere komplekse konfigurasjoner. Tjenesteleverandører med begrensede datasoner (RDZ) kan for eksempel opprette flere leietakere for å gi isolerte databeskyttelsestjenester til leietakerbrukere. |
| Domene | Det fullstendige domenenavnet, inkludert alle DC-verdier, for eksempel: example.com |
| Bruker-DN | Angir det fullstendige navnet (DN) til en brukerkonto som har full lesetilgang til AD-katalogen. |
| Bruker-DN-passord | Angir passordet til brukerkontoen som brukes til å få tilgang til og lese AD direkte |
| Gruppeobjektklasse | Nødvendig. Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet. } For LDAP bruker du groupOfUniqueNames eller groupOfNames. | For AD bruker du gruppe. |
| Gruppesøkebane (ekstrautstyr) | Et DN som angir søkebanen som godkjenningstjenesten skal bruke når du søker etter grupper i LDAP- eller AD-hierarkiet. |
| Attributt for gruppenavn | Attributtet som identifiserer gruppenavnet. For eksempel cn. |
| Gruppemedlemsattributtet | Gruppemedlemskapet til brukeren i en gruppe. For LDAP: ○ Når gruppeobjektklassen er groupOfNames , er attributtet vanligvis medlem. ○ Når gruppeobjektklassen er groupOfUniqueNames , er attributtet vanligvis unikt. | For AD er verdien ofte medlem. |
| Brukerobjektklasse | Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet. For eksempel person. |
| Brukersøkebane (ekstrautstyr) | DN som angir søkebanen som godkjenningstjenesten skal bruke når du søker etter brukere i LDAP- eller AD-hierarkiet. Angi en søkebane som er relativ til den grunnleggende DN-en som du har angitt i alternativet configserver-address (konfigurasjonsserver-adresse). For eksempel, for AD, angir du cn=users. |
| Bruker-ID-attributt | Bruker-ID-en som er tilknyttet brukerobjektet i LDAP- eller AD-hierarkiet. For LDAP er dette attributtet vanligvis uid. For AD er dette attributtet vanligvis sAMAccountName. |
MERK: Kontakt AD/LDAP-administratoren for å bekrefte hvilke AD/LDAP-spesifikke felt som er nødvendige for miljøet ditt.
6. Når du er ferdig, klikker du på Save (Lagre).
7. Et sammendrag av den konfigurerte eksterne myndighetsressursen skal nå vises:
8. Rediger brukergruppene som inneholder rettighetene du vil delegere til AD/LDAP-grupper eller -brukere, fra menyen Server->User Groups (Server->grupper). Hvis du for eksempel vil gi fullstendige administratorrettigheter, må AD-gruppen/bruker-DN spesifiseres i feltet Eksterne roller i applikasjonsadministratorer og sikkerhetsadministratorroller.
F.eks: CN= NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Når AD-gruppen og/eller bruker-DC-ene er angitt, klikker du på Save (Lagre).
10. Logg deg av NWUI-grensesnittet, og logg på igjen ved hjelp av AD-kontoen:
11. Brukerikonet øverst i høyre hjørne angir hvilken brukerkonto som er logget på.
Tilleggsinformasjon
Du kan bruke kommandoen authc_mgmt på NetWorker-serveren for å bekrefte at AD/LDAP-gruppene/brukerne er synlige:
Andre ressurser:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
F.eks:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
MERK: På noen systemer kan det hende at authc-kommandoene mislykkes med feil passordfeil, selv når det riktige passordet er angitt. Dette skyldes at passordet er angitt som synlig tekst med alternativet "-p". Hvis du støter på dette, fjerner du «-p password» fra kommandoene. Du blir bedt om å angi passordet skjult etter at du har kjørt kommandoen.
Andre ressurser:
Artikkelegenskaper
Berørt produkt
NetWorker
Produkt
NetWorker Family, NetWorker Series
Dato for siste publisering
18 okt. 2023
Versjon
4
Artikkeltype
How To