NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)
Сводка: 本知识库文章详细介绍了从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS) 所需的过程。
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Инструкции
要配置 SSL 身份验证,请将根 CA(或 CA 链)导入到 NetWorker 的 authc 服务器使用的 cacerts 文件中。在单 NetWorker 服务器环境中,服务器是身份验证服务器;在较大的数据区中,一台 authc 服务器可以作为多台服务器的身份验证主服务器。有关识别 authc 服务器的说明,请参阅其他信息字段。
配置 AUTHC 以使用 SSL
Linux NetWorker 服务器:
- 打开与 NetWorker authc 服务器的 SSH 会话。
- 切换到 root:
$ sudo su -
- 使用 OpenSSL 从域服务器获取 CA 证书(或证书链):
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 证书在 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 内。如果使用链证书,则在列出的多个证书中,第一个证书是中间证书,最后一个证书是根 CA。
- 单一证书:复制证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----),并将其放入名为 RCAcert.crt 的文件中,该文件位于您选择的位置。
- 证书链:复制每个证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 字段),并将其放入不同的文件中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最后是 RCAcert.crt。
- 为了帮助简化该过程,请设置以下命令行变量:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
示例:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- 导入证书:
A. 使用证书链时,导入链中的每个证书,直至根证书 (RCA)。 如果仅使用一个根 CA,请导入该根 CA。
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
系统将提示您在 cacerts 密钥库中接受证书。
B. 如果您收到重复别名(以前的过期证书)的警报,请删除具有相同别名的现有证书:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
删除旧证书后,重复步骤 A。
- 重新启动 NetWorker 服务器服务。重新启动服务会在 authc 启动期间重新加载 cacerts 文件。如果在导入证书后未重新启动 NetWorker 服务,则在 NetWorker 中配置外部机构的过程将失败,并显示与证书相关的错误。
# nsr_shutdown # systemctl start networker
Windows NetWorker 服务器:
提醒:使用 OpenSSL 连接到域服务器,并获取 AD over SSL 所需的 CA 证书(或链)。默认情况下,Windows 服务器不包含 OpenSSL,但您可以安装它。或者,域管理员可以提供 CA 证书(以及链,如果使用),而不使用 OpenSSL。必须以 PEM 格式提供。直接从身份验证服务器使用 OpenSSL 是首选方法。
- 打开管理员命令提示符。
- 设置以下变量:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
示例:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- 使用 OpenSSL 从域服务器获取 CA 证书(或证书链):
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
CA 证书在 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 内。如果使用链证书,则会显示多个证书:第一个是中间证书,最后一个是根 CA。
- 单一证书:复制证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----),并将其放入名为 RCAcert.crt 的文件中,该文件位于您选择的位置。
- 证书链:复制每个证书(包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 字段),并将其放入不同的文件中。例如 ICA3cert.crt、ICA2cert.crt、ICA1cert.crt,最后是 RCAcert.crt。
- 为根 CA 和任何中间证书(如果使用)设置命令行变量:
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
示例:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- 导入证书:
A. 使用证书链时,导入链中的每个证书,直至 RCA。如果仅使用一个根 CA,请导入该根 CA。
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
系统将提示您在 cacerts 密钥库中接受证书。
B. 如果您收到重复别名(以前的过期证书)的警报,请删除具有相同别名的现有证书:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
删除旧证书后,重复步骤 A。
- 重新启动 NetWorker 服务器服务。重新启动服务会在 authc 启动期间重新加载 cacerts 文件。如果在导入证书后未重新启动 NetWorker 服务,则在 NetWorker 中配置外部机构的过程将失败,并显示与证书相关的错误。
net stop nsrd net start nsrd
从 NWUI 创建“AD over SSL”外部机构资源。
- 从 Web 浏览器访问 NWUI 服务器:https://nwui-server-name:9090/nwui
- 使用 NetWorker 管理员账户登录。
- 在菜单中,展开 Authentication Server,然后单击 External Authorities。
- 在 External Authorities 中,单击 Add+。
- 填充配置字段:
基本配置
|
Field
|
值
|
|
名称
|
LDAP 或 AD 配置的描述性名称(不含空格)。最大字符数为 256。配置名称仅使用 ASCII 字符。
|
|
服务器类型
|
AD over SSL
|
|
提供商服务器名称
|
指定 Active Directory 服务器的主机名或 IP 地址
|
|
端口
|
端口 636 用于 SSL,如果选择了“AD over SSL”,此字段应自动填充。
|
|
租户
|
选择租户(如果已配置)。如果未配置租户或不需要租户,则可以使用“default”。
配置租户需要以下登录语法“tenant_name\domain_name\user_name”。如果使用默认租户(通用),则登录语法为“domain_name\user_name”。 租户是 NetWorker 身份验证服务的顶层组织容器。本地数据库中的每个外部身份验证机构都会分配给一个租户。一个租户可以包含一个或多个域,但域名在租户内必须是唯一的。NetWorker 身份验证服务将创建一个集成租户名称 Default,其中包含 Default 域。创建多个租户可帮助您管理复杂的配置。例如,具有受限数据区 (RDZ) 的服务提供商可以创建多个租户,以便为租户用户提供隔离的数据保护服务。 |
|
域
|
完整域名,包括所有 DC 值;例如:example.com
|
|
User DN
|
指定对 AD 目录具有完整读取权限的用户账户的完整可分辨名称 (DN)
|
|
User DN Password
|
指定用于访问和读取 AD Direct 的用户账户密码
|
高级配置
|
组对象类
|
必填。在 LDAP 或 AD 层次结构中标识组的对象类。
● 对于 LDAP,请使用 groupOfUniqueNames 或 groupOfNames ● 对于 AD,请使用 group |
|
组搜索路径(可选)
|
指定身份验证服务在 LDAP 或 AD 层次结构中搜索组时应使用的搜索路径的 DN。
|
|
组名称属性
|
标识组名称的属性;例如,cn。
|
|
组成员属性
|
组中用户的组成员身份:
● 对于 LDAP:
○ 当组对象类为 groupOfNames 时,该属性通常为 member。
○ 当组对象类为 groupOfUniqueNames 时,该属性通常为 uniquemember。
● 对于 AD,该值通常为 member。
|
|
用户对象类
|
在 LDAP 或 AD 层次结构中标识用户的对象类。例如,person。
|
|
用户搜索路径(可选)
|
指定身份验证服务在 LDAP 或 AD 层次结构中搜索用户时应使用的搜索路径的 DN。指定相对于您在 configserver-address 选项中指定的基本 DN 的搜索路径。例如,对于 AD,指定 cn=users。
|
|
用户 ID 属性
|
与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
对于 LDAP,此属性通常为 uid。 对于 AD,此属性通常为 sAMAccountName。 |
提醒:请咨询您的 AD/LDAP 管理员,以确认您的环境需要哪些 AD/LDAP 专用字段。
- 完成后,单击 Save。
- 现在应显示已配置的外部机构资源的摘要:
- 从 Server > User Groups 菜单,编辑包含要委派给 AD/LDAP 组或用户的权限的用户组。要授予完整的管理员权限,请在应用程序管理员和安全管理员角色的 External Roles 字段中指定 AD 组/用户 DN。
例如,CN=NetWorker_Admins,DC=amer,DC=lan
这可以从命令行来完成:
nsraddadmin -e "Distinguished_Name"
示例:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- 指定 AD 组或用户 DN 后,单击 Save。
- 从 NWUI 界面退出登录,然后使用 AD 账户重新登录:
- 右上角的用户图标指示登录的用户账户。
Дополнительная информация
确认用于 NetWorker 身份验证的 AUTHC 服务器
NetWorker Management Console (NMC) 服务器的 gstd.conf 文件显示用于处理登录请求的主机:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
在文件中查找 authsvc_hostname 值。Authsvc_hostname 是 authc(身份验证)服务器。
如何查看 AD 组成员身份并获取 NetWorker 权限所需的可分辨名称 (DN) 值:
您可以在 NetWorker 服务器上使用 authcmgmt 命令确认 AD/LDAP 组/用户可见:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
示例:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
提醒:在某些系统上,即使提供了正确的密码,
authc 命令也可能失败并显示“incorrect password”错误。这是因为使用了 -p 选项将密码指定为可见文本。如果您遇到此问题,请从命令中删除 -p password 。运行命令后,系统将提示您输入隐藏的密码。
其他相关文章:
- NetWorker:如何使用 authc_config 脚本设置 LDAP/AD
- NetWorker:如何设置 AD/LDAP 验证
- NetWorker:如何重置管理员密码
- NetWorker:LDAPS 集成失败,并显示“An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target”
- NetWorker:如何导入或更换“Authc”和“NWUI”的证书颁发机构签名证书 (Linux)
- NetWorker:如何导入或更换“Authc”和“NWUI”的证书颁发机构签名证书 (Windows)
Затронутые продукты
NetWorkerПродукты
NetWorker Family, NetWorker SeriesСвойства статьи
Номер статьи: 000203005
Тип статьи: How To
Последнее изменение: 09 Sep 2025
Версия: 10
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.