NetWorker:如何配置 LDAPS 身份验证
摘要: 使用 NMC 的外部机构向导为 NetWorker 配置 AD 或 Secure Lightweight Directory Access Protocol (LDAPS) 的概览。此知识库文章还可用于有关更新现有外部机构配置的说明。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
本文可分为以下部分。请先认真阅读每个部分,然后再继续:
前提条件:
- 确定哪个主机是
authc服务器。这在较大的 NetWorker 数据区中很有帮助。在具有单个 NetWorker 服务器的较小数据区中,NetWorker 服务器是身份验证服务器。 - 确定用于身份验证服务的 Java Runtime Environment。
- 设置命令行变量以帮助导入用于 SSL 和 NetWorker 外部身份验证的 CA 证书。
设置 SSL:
- 将用于 LDAPS 身份验证的证书导入身份认证服务运行时环境
cacerts密钥库。
配置外部机构资源:
- 在身份验证服务中创建外部机构资源。
- 确定要用于 NetWorker 的外部用户或组。
- 定义哪些外部用户或组有权访问 NetWorker Management Console (NMC)。
- 定义外部用户和组具有的 NetWorker 服务器权限。
- (可选)为外部用户或组配置 FULL_CONTROL 安全权限。
前提条件:
要使用 LDAPS,您必须将 CA 证书(或证书链)从 LDAPS 服务器导入到 NetWorker 身份认证服务器的 Java cacerts 密钥库中。
- 确定哪个主机是 NetWorker 身份认证服务器。这可以在 NetWorker Management Console (NMC) 服务器的 gstd.conf 文件中进行验证:
Linux:
Windows:
/opt/lgtonmc/etc/gstd.conf
Windows:
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
提醒:
gstd.conf 文件包含字符串 authsvc_hostname ,该字符串定义用于处理 NetWorker Management Console (NMC) 登录请求的身份验证服务器。
- 在 NetWorker 身份验证服务器上,找到所使用的 Java 实例。
Windows:
A. 在 Windows 搜索栏中搜索关于。
B.在关于中,单击高级系统设置。
C.在系统属性中,单击环境变量。
D.
B.在关于中,单击高级系统设置。
C.在系统属性中,单击环境变量。
D.
NSR_JAVA_HOME 变量定义 NetWorker authc使用的 Java Runtime Environment 的路径:
-
- E. 在管理命令提示符中,设置命令行变量,以指定上一步中确定的 Java 安装路径:
set JAVA="Path\to\java"
示例:
协助执行 java
keytool 命令(在设置 SSL 中),并确保正确的 cacerts 文件导入 CA 证书。命令行会话关闭后,此变量将被删除,不会干扰任何其他 NetWorker 操作。
Linux:
A. 在 /nsr/authc/conf/installrc 文件中查看配置身份验证服务时使用的 Java 位置:
sudo cat /nsr/authc/conf/installrc
示例:
[root@nsr ~]# cat /nsr/authc/conf/installrc JAVA_HOME=/opt/nre/java/latest
提醒:此变量仅适用于 NetWorker 进程。
echo $JAVA_HOME 有可能将返回不同的路径;例如,如果还安装了 Oracle Java Runtime Environment (JRE)。在下一步中,务必使用 $JAVA_HOME 路径,该路径在 NetWorker 的 /nsr/authc/conf/installrc 文件中定义。
B. 设置命令行变量,以指定上一步中确定的 Java 安装路径。
JAVA=/path/to/java
示例:
协助执行 java
keytool 命令(在设置 SSL 中),并确保正确的 cacerts 文件导入 CA 证书。命令行会话关闭后,此变量将被删除,不会干扰任何其他 NetWorker 操作。
设置 SSL
要使用 LDAPS,您必须将 CA 证书(或证书链)从 LDAPS 服务器导入到 JAVA 信任密钥库中。可通过以下步骤完成此操作:
提醒:以下过程使用在前提条件部分中设置的命令行变量。如果未设置命令行变量,请改为指定完整的 Java 路径。
1.打开管理/根命令提示符。
2.显示信任库中当前受信任证书的列表。
2.显示信任库中当前受信任证书的列表。
Windows:
%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linux:
$JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
3.查看列表中是否有与您的 LDAPS 服务器匹配的别名(可能不存在)。您可以使用作系统
grep 或 findstr 命令以及上述命令,以缩小搜索范围。如果您的 LDAPS 服务器存在过时或现有的 CA 证书,请使用以下命令将其删除:
Windows:
%JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linux:
$JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
提醒:将 ALIAS_NAME 替换为步骤 2 中的旧证书或过期证书的别名。
4.使用 OpenSSL 工具从 LDAPS 服务器获取 CA 证书的副本。
openssl s_client -showcerts -connect LDAPS_SERVER:636
- 默认情况下,Windows 主机不包括
openssl程序。如果无法在 NetWorker 服务器上安装 OpenSSL,则可以直接从 LDAPS 服务器导出证书;但是,强烈建议使用 OpenSSL 实用程序。 - Linux 通常安装了
openssl。如果环境中有 Linux 服务器,您可以使用其中的openssl来收集证书文件。您可以将这些证书复制到 Windowsauthc服务器并在该服务器上使用。 - 如果您没有 OpenSSL 并且无法安装它,请让您的 AD 管理员提供一个或多个证书,方法是将其导出为 Base-64 编码的 x.509 格式。
- 将 LDAPS_SERVER 替换为 LDAPS 服务器的主机名或 IP 地址。
5.上述命令以隐私增强邮件 (PEM) 格式输出 CA 证书或证书链,例如:
-----BEGIN CERTIFICATE----- MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs ... 7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm m4mGyefXz4TBTwD06opJf4NQIDo= -----END CERTIFICATE-----
提醒:如果存在证书链,则最后一个证书是 CA 证书。您必须按照以 CA 证书结尾的顺序(自上而下)导入链中的每个证书。
6.复制证书(开始于
7.将创建的一个或多个证书文件导入到 JAVA 信任密钥库中:
---BEGIN CERTIFICATE--- ,结束于 ---END CERTIFICATE--- ),并将其粘贴到新文件中。如果存在证书链,则必须对每个证书执行此操作。
7.将创建的一个或多个证书文件导入到 JAVA 信任密钥库中:
Windows:
%JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
Linux:
$JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
- 将 ALIAS_NAME 替换为导入证书的别名,例如 RCA(根 CA)。为证书链导入多个证书时,每个证书必须具有不同的别名,并且必须分别导入。还必须按照步骤 5中的顺序(自上而下)导入证书链。
- 将 PATH_TO\CERT_FILE 替换为在步骤 6 中创建的证书文件的位置。
8.系统会提示您导入证书,键入
yes ,然后按 Enter 键。
C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer Owner: CN=networker-DC-CA, DC=networker, DC=lan Issuer: CN=networker-DC-CA, DC=networker, DC=lan Serial number: 183db0ae21d3108244254c8aad129ecd ... ... ... Trust this certificate? [no]: yes Certificate was added to keystore
9.确认证书显示在密钥库中:
Windows:
%JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
Linux:
$JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
提醒:在上面的命令中,通过管道符 (
|) 添加操作系统 grep 或 findstr 命令,以缩小结果范围。
C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA RCA, Jan 15, 2025, trustedCertEntry,
10.重新启动 NetWorker 服务器服务。
Windows:
net stop nsrd net start nsrd
Linux:
nsr_shutdown service networker start
提醒:重新启动 NetWorker 服务器服务以确保 authc 读取 cacerts 文件并检测导入的证书,以便与 LDAP 服务器进行 SSL 通信。
配置外部机构资源
本知识库文章重点介绍如何使用 NetWorker Management Console (NMC) 配置 LDAP over SSL。配置 AD over SSL 时,建议使用 NetWorker Web 用户界面 (NWUI)。以下文章中详细介绍了此过程:
或者,您也可以使用 authc_config 脚本方法:
如果遵循上述任一文章,您可以跳到已创建外部机构资源的部分,无需重复证书导入过程。
提醒:在配置 AD over SSL 时,可以遵循此知识库文章;但是,还需要执行其他步骤。下面概述了这些步骤。
1.以 NetWorker 管理员账户身份登录 NetWorker Management Console (NMC)。选择 Setup-->Users and Roles-->External Authority。
2.创建或修改现有的外部机构配置,从 Server Type 下拉列表中选择 LDAP over SSL。这会自动将端口从 389 更改为 636:
提醒:展开 Show Advanced Options 字段,并确保为身份验证服务器设置正确的值。有关说明字段和值的表,请参阅本知识库文章的其他信息部分。
对于 Active Directory over SSL:
警告:使用 NMC“LDAP over SSL”设置和 Microsoft Active Directory 会将内部配置参数“is active directory”设置为“false”。这会导致无法在 NetWorker 中成功进行 AD 身份验证。可使用以下步骤来纠正此错误。
A. 获取 config id 详细信息:
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#
示例:
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1 AD
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : AD
Config Domain : networker.lan
Config Server Address : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : false
Config Search Subtree : true
B. 使用
authc_config 命令设置 is-active-directory=y:
authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
提醒:这些字段所需的值可以从步骤 A 中获取。
示例:
nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : AD
Config Domain : networker.lan
Config Server Address : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : true
Config Search Subtree : true
现在已为 Microsoft Active Directory 正确配置外部机构资源。
3.您可以在 NetWorker 上使用
authc_mgmt 命令确认 AD/LDAP 组/用户可见:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
示例:
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan The query returns 40 records. User Name Full Dn Name ... ... bkupadmin CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan The query returns 71 records. Group Name Full Dn Name ... ... NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
提醒:在某些系统上,即使提供了正确的密码,
authc 命令也可能失败并显示“incorrect password”错误。这是因为使用了“-p”选项指定密码为可见文本。如果您遇到此问题,请从命令中删除“-p password”。运行命令后,系统将提示您输入隐藏的密码。
将 NMC 配置为接受外部身份验证:
4.以默认 NetWorker 管理员账户登录 NMC 时,打开 Setup-->Users and Roles-->NMC Roles。打开 Console Application Administrators 角色的属性,然后在 external roles 字段中输入 AD/LDAP 组的可分辨名称
(DN)。对于需要与默认 NetWorker 管理员账户相同级别权限的用户,请在 Console Security Administrators 角色中指定 AD/LDAP 组 DN。对于不需要 NMC 控制台管理权限的 AD 用户或组,请在 Console User 外部角色中添加其完整 DN。
(DN)。对于需要与默认 NetWorker 管理员账户相同级别权限的用户,请在 Console Security Administrators 角色中指定 AD/LDAP 组 DN。对于不需要 NMC 控制台管理权限的 AD 用户或组,请在 Console User 外部角色中添加其完整 DN。
提醒:默认情况下,已存在 NetWorker 服务器的本地管理员组的 DN,请勿将其删除。
配置 NetWorker 服务器外部用户权限:
5.从 NMC 连接到 NetWorker 服务器,打开 Server-->User Groups。在 Application Administrators 角色属性的 External Roles 字段中输入 AD/LDAP 组的可分辨名称 (DN)。对于需要与默认 NetWorker 管理员账户相同级别权限的用户,您必须在 Security Administrators 角色中指定 AD/LDAP 组 DN。
提醒:默认情况下,已存在 NetWorker 服务器的本地管理员组的 DN,请勿将其删除。
或者,您也可以使用
nsraddadmin ,为应具有完整 NetWorker 管理员权限的外部用户/组完成此操作:
nsraddadmin -e "USER/GROUP_DN"示例:
nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan" 134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group. 134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
访问 NMC:
您应该可以使用已获得相应权限的外部用户访问 NMC 和 NetWorker 服务器。
登录后,用户将显示在 NMC 的右上角:
额外的安全权限
6.(可选)如果您希望 AD/LDAP 组能够管理外部机构,则必须在 NetWorker 服务器上执行以下操作。
A. 打开管理/根命令提示符。
B.使用要授予 FULL_CONTROL 运行权限的 AD 组 DN:
B.使用要授予 FULL_CONTROL 运行权限的 AD 组 DN:
authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
示例:
nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan" Permission FULL_CONTROL is created successfully. nve:~ # nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions The query returns 2 records. Permission Id Permission Name Group DN Pattern Group DN 1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$ 2 FULL_CONTROL CN=NetWorker_Admins,OU=DELL,dc=networ...
其他資訊
有关更多信息,请参阅《NetWorker 安全配置指南》,网址为:https://www.dell.com/support/home/product-support/product/networker/docs
配置值:
| Server Type | 如果身份验证服务器是 Linux/UNIX LDAP 服务器,请选择 LDAP;如果使用 Microsoft Active Directory 服务器,请选择 Active Directory。 |
| Authority Name | 为此外部身份验证机构提供名称。您可以设置您想要的任何名称,它仅用于在配置多个机构时与其他机构区分。 |
| Provider Server Name | 此字段应包含 AD 或 LDAP 服务器的完全限定域名 (FQDN)。 |
| Tenant | 租户可在可能使用多种身份验证方法或必须配置多个机构的环境中使用。默认情况下,已选择“default”租户。使用租户会更改您的登录方法。使用默认租户的“域\用户”或其他租户的“租户\域\用户”登录 NMC。 |
| Domain | 指定您的完整域名(不包括主机名)。这通常是基本 DN,由域的域名组成 (DC) 值组成。 |
| Port Number | 对于 LDAP 和 AD 集成,请使用端口 389。对于 LDAP over SSL,请使用端口 636。 这些端口是 AD/LDAP 服务器上的非 NetWorker 默认端口。 |
| User DN | 指定对 LDAP 或 AD 目录具有完全读取访问权限的用户账户的可分辨名称 (DN)。 指定用户账户的相对 DN;如果要覆盖 Domain 字段中设置的值,则指定完整 DN。 |
| User DN Password | 指定用户账户的密码。 |
| Group Object Class | 在 LDAP 或 AD 层次结构中标识组的对象类。
|
| Group Search Path | 此字段可以留空,在这种情况下, authc 能够查询整个域。必须先授予 NMC/NetWorker 服务器访问权限,然后这些用户/组才能登录 NMC 并管理 NetWorker 服务器。指定域的相对路径,而不是完整的 DN。 |
| Group Name Attribute | 标识组名称的属性。例如: cn |
| Group Member Attribute | 组中用户的组成员身份
|
| 用户对象类 | 在 LDAP 或 AD 层次结构中标识用户的对象类。 例如, inetOrgPerson 或 user |
| User Search Path | 与 Group Search Path 一样,此字段可以留空,在这种情况下,authc 能够查询整个域。指定域的相对路径,而不是完整的 DN。 |
| User ID Attribute | 与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
|
其他相关文章:
受影響的產品
NetWorker文章屬性
文章編號: 000156132
文章類型: How To
上次修改時間: 17 6月 2025
版本: 14
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。