NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)
Сводка: 本 KB 詳細說明從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS) 所需的程序。
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Инструкции
若要設定 SSL 驗證,請將根 CA (或 CA 鏈) 匯入 NetWorker 的 authc 伺服器所使用的 cacerts 檔案。在單一 NetWorker 伺服器環境中,伺服器是驗證伺服器;在較大的資料區域中,一部 authc 伺服器可以是多部伺服器的主要驗證伺服器。如需有關識別 authc 伺服器的指示,請參閱其他資訊欄位。
設定 AUTHC 以使用 SSL
Linux NetWorker 伺服器:
- 將 SSH 工作階段開啟至 NetWorker authc 伺服器。
- 切換至 root:
$ sudo su -
- 使用 OpenSSL 從網域伺服器取得 CA 憑證 (或憑證鏈):
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 憑證包含在 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 內。如果使用鏈憑證,則列出第一個憑證所在的多個憑證是中繼憑證,而列出最後一個憑證的是根 CA。
- 單一憑證:複製包含 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 的憑證,然後將其放入您選擇的位置中名為 RCAcert.crt 的檔案中。
- 憑證鏈:複製每個憑證 (包括其 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 欄位),並將其放入個別檔案中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最後是 RCAcert.crt。
- 為了協助簡化該程序,請設定以下命令列變數:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
範例:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- 匯入憑證:
A. 使用憑證鏈時,匯入鏈中導向根憑證 (RCA) 的每個憑證。 如果僅使用單一根 CA,請匯入根 CA。
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
系統會提示您接受憑證進入 cacerts 金鑰存放區。
B. 如果您收到重複別名 (之前的已過期憑證) 的警示,請刪除別名相同的現有憑證:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
移除舊憑證後重複步驟 A。
- 重新啟動 NetWorker 伺服器服務。重新啟動服務會在 authc 啟動期間重新載入 cacerts 檔案。如果 NetWorker 服務在匯入憑證後未重新啟動,則在 NetWorker 中設定外部授權單位的程序會失敗,並顯示憑證相關錯誤。
# nsr_shutdown # systemctl start networker
Windows NetWorker 伺服器:
注意:使用 OpenSSL 連線至網域伺服器,並取得 AD over SSL 所需的 CA 憑證 (或鏈)。Windows 伺服器預設不包含 OpenSSL;但是,它是可以安裝的。或者,網域系統管理員可以提供 CA 憑證 (如果使用,則可以提供鏈),而不是使用 OpenSSL。必須以 PEM 格式提供這些項目。直接從驗證伺服器使用 OpenSSL 是偏好的方法。
- 開啟系統管理員命令提示字元。
- 設定下列變數:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
範例:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- 使用 OpenSSL 從網域伺服器取得 CA 憑證 (或憑證鏈):
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 憑證包含在 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 內。如果使用鏈憑證,則會出現多個憑證:第一個是中繼憑證,最後一個是根 CA。
- 單一憑證:複製包含 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 的憑證,然後將其放入您選擇的位置中名為 RCAcert.crt 的檔案中。
- 憑證鏈:複製每個憑證 (包括其 -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- 欄位),並將其放入個別檔案中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最後是 RCAcert.crt。
- 為根 CA 和任何中繼憑證設定命令列變數 (若使用):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
範例:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- 匯入憑證:
A. 使用憑證鏈時,匯入鏈中導向 RCA 的每個憑證。如果僅使用單一根 CA,請匯入根 CA。
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
系統會提示您接受憑證進入 cacerts 金鑰存放區。
B. 如果您收到重複別名 (之前的已過期憑證) 的警示,請刪除別名相同的現有憑證:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
移除舊憑證後重複步驟 A。
- 重新啟動 NetWorker 伺服器服務。重新啟動服務會在 authc 啟動期間重新載入 cacerts 檔案。如果 NetWorker 服務在匯入憑證後未重新啟動,則在 NetWorker 中設定外部授權單位的程序會失敗,並顯示憑證相關錯誤。
net stop nsrd net start nsrd
從 NWUI 建立「AD over SSL」外部授權單位資源。
- 從網頁瀏覽器存取 NWUI 伺服器:https://nwui-server-name:9090/nwui
- 使用 NetWorker 系統管理員帳戶登入。
- 從功能表中展開驗證伺服器,然後按一下外部授權單位。
- 在「外部授權單位」中,按一下新增+。
- 填入組態欄位:
基本組態
|
欄位
|
值
|
|
名稱
|
描述名稱,LDAP 或 AD 組態中不含空格。最大字元數為 256。僅在組態名稱中指定 ASCII 字元。
|
|
伺服器類型
|
AD over SSL
|
|
供應商伺服器名稱
|
指定 Active Directory 伺服器的主機名稱或 IP 位址
|
|
連接埠
|
連接埠 636 用於 SSL,如果選取「AD over SSL」,則應會自動填入此欄位。
|
|
租戶
|
選取租戶 (若已設定)。若未設定或不需要租戶,則可以使用「預設」。
設定租戶需要下列登入語法「tenant_name\domain_name\user_name」。如果使用預設租戶 (通用),則登入語法為「domain_name\user_name」。 租戶 - NetWorker 驗證服務的頂層組織容器。會將本機資料庫中的每個外部驗證授權單位都指派給租戶。租戶可以包含一或多個網域,但網域名稱在租戶中必須是唯一的。NetWorker 驗證服務會建立一個內建租戶名稱 Default,其中包含預設網域。建立多個租戶有助於管理複雜的組態。例如,具有受限制的資料區 (RDZ) 的服務提供者可以建立多個租戶,以為租戶使用者提供隔離的資料保護服務。 |
|
網域
|
完整的網域名稱,包括所有 DC 值;例如:example.com
|
|
使用者 DN
|
為對 AD 目錄具有完整讀取存取權的使用者帳戶指定完整辨別名稱 (DN)
|
|
使用者 DN 密碼
|
指定用於存取和讀取 AD direct 的使用者帳戶密碼
|
進階組態
|
群組物件類別
|
需要。識別 LDAP 或 AD 階層中群組的物件類別。
● 對於 LDAP,請使用 groupOfUniqueNames 或 groupOfNames ● 對於 AD,請使用 group |
|
群組搜尋路徑 (選用)
|
指定驗證服務在 LDAP 或 AD 階層中搜尋群組時應使用之搜尋路徑的 DN。
|
|
群組名稱屬性
|
識別群組名稱的屬性;例如,cn。
|
|
群組成員屬性
|
使用者在群組中的群組成員資格:
● 對於 LDAP:
○ 當群組物件類別是 groupOfNames 時,該屬性通常是 member。
○ 當群組物件類別是 groupOfUniqueNames 時,該屬性通常是 uniquemember。
● 對於 AD,該值通常是 member。
|
|
使用者物件類別
|
識別 LDAP 或 AD 階層中使用者的物件類別。例如,person。
|
|
使用者搜尋路徑 (選用)
|
指定驗證服務在 LDAP 或 AD 階層中搜尋使用者時應使用之搜尋路徑的 DN。指定相對於您在 configserver-address 選項中指定之基本 DN 的搜尋路徑。例如,對於 AD,請指定 cn=users。
|
|
使用者 ID 屬性
|
與 LDAP 或 AD 階層中使用者物件相關聯的使用者 ID。
對於 LDAP,此屬性通常是 uid。 對於 AD,此屬性通常是 sAMAccountName。 |
注意:若要確認您的環境需要哪些 AD/LDAP 特定欄位,請向您的 AD/LDAP 管理員洽詢。
- 完成後,按一下儲存。
- 現在應會出現所設定的外部授權單位資源摘要:
- 從伺服器 > 使用者群組功能表中,編輯包含您要委派給 AD/LDAP 群組或使用者之權限的使用者群組。例如,若要授予完整的系統管理員權限,請在應用程式管理員和安全性管理員角色的「外部角色」欄位中指定 AD 群組/使用者 DN。
例如,CN=NetWorker_Admins,DC=amer,DC=lan
這也可以從命令列完成:
nsraddadmin -e "Distinguished_Name"
範例:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- 指定 AD 群組或使用者 DN 後,按一下儲存。
- 登出 NWUI 介面,然後使用 AD 帳戶重新登入:
- 右上角的使用者圖示指示已登入哪個使用者帳戶。
Дополнительная информация
確認用於 NetWorker 驗證的 AUTHC 伺服器
NetWorker Management Console (NMC) 伺服器的 gstd.conf 檔案會顯示用於處理登入要求的主機:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
檢查檔案的 authsvc_hostname 值。authsvc_hostname 是 authc (驗證) 伺服器。
如何檢查 AD 群組成員資格並取得 NetWorker 權限所需的辨別名稱 (DN) 值:
您可以在 NetWorker 伺服器上使用 authcmgmt 命令,以確認可以看到 AD/LDAP 群組/使用者:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
範例:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
注意:在某些系統上,
authc 命令可能會失敗並顯示「密碼不正確」錯誤,即使提供了正確的密碼也是如此。這是因為密碼使用 -p 選項指定為可見的文字。如果您遇到這種情況,請從命令移除 -p password 。執行命令後,系統會提示您輸入隱藏的密碼。
其他相關文章:
Затронутые продукты
NetWorkerПродукты
NetWorker Family, NetWorker SeriesСвойства статьи
Номер статьи: 000203005
Тип статьи: How To
Последнее изменение: 09 Sep 2025
Версия: 10
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.