NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webbenutzeroberfläche (NWUI)

Um eine SSL-Verbindung für die Authentifizierung zu konfigurieren, muss die Stammzertifizierungsstelle (oder bei Verwendung der CA-Kette) in die cacerts-Datei importiert werden, die vom authc-Prozess von NetWorker verwendet wird.

Konfigurieren von AUTHC für die Verwendung von SSL

1) Öffnen Sie eine Administrative/Root-Eingabeaufforderung im Java-Bin-Verzeichnis.

• Wenn Sie NetWorker Runtime Environment (NRE) für die Java-Instanz des AUTHC-Servers verwenden, lautet der Speicherort wie folgt:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x.x_xxx\bin
• Wenn Sie Oracle Java verwenden, kann sich der Dateipfad je nach installierter und verwendeter Java-Version unterscheiden. 

2, a) Zeigt eine Liste der aktuellen vertrauenswürdigen Zertifikate im Vertrauensspeicher an.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Das Standardpasswort für den storepass ist changeit.
• Auf Windows-Servern würde der Keytool-Befehl aus dem Java-Bin-Verzeichnis ausgeführt werden, würde aber wie folgt aussehen:
  • keytool -list -keystore. \lib\security\cacerts -storepass changeit

2, b) Überprüfen Sie die Liste auf einen Alias, der Ihrem LDAPS-Server entspricht (dies ist möglicherweise nicht vorhanden). Sie können die Befehle "operating system grep" oder "findstr" mit dem obigen Befehl verwenden, um die Suche einzugrenzen. Wenn ein veraltetes oder vorhandenes CA-Zertifikat von Ihrem LDAPS-Server vorhanden ist, löschen Sie es mit dem folgenden Befehl:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Ersetzen Sie ALIAS_NAME durch den Aliasnamen des LDAPS-Servers, der aus der Ausgabe in 2, a erfasst wurde.

3, a) Verwenden Sie das OpenSSL-Tool, um eine Kopie des CA-Zertifikats vom LDAPS-Server zu erhalten.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• Standardmäßig enthalten Windows-Hosts nicht das OpenSL-Programm. Wenn es nicht möglich ist, OpenSSL auf dem NetWorker-Server zu installieren, können die Zertifikate direkt vom LDAPS-Server exportiert werden. es wird jedoch dringend empfohlen, das OpenSSL-Dienstprogramm zu verwenden. 
• In Linux ist in der Regel opensl installiert. Wenn Sie Linux-Server in der Umgebung haben, können Sie opensl dort verwenden, um die Zertifikatdateien zu erfassen/zu erstellen. Diese können auf den Windows authc-Server kopiert und dort verwendet werden.
• Wenn Sie nicht über OpenSSL verfügen und es nicht installiert werden kann, muss Ihr AD-Administrator ein oder mehrere Zertifikate bereitstellen, indem er sie als Base-64-codiertes x.509-Format exportiert.
• Ersetzen Sie LDAPS_SERVER durch den Hostnamen oder die IP-Adresse Ihres LDAPS-Servers.

3, b) Mit dem obigen Befehl wird das CA-Zertifikat oder eine Zertifikatkette im PEM-Format ausgegeben, z. B.:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Kopieren Sie das Zertifikat ab ---BEGIN CERTIFICATE--- und enden Sie mit ---END CERTIFICATE--- und fügen Sie es in eine neue Datei ein. Wenn eine Kette von Zertifikaten vorhanden ist, müssen Sie dies mit jedem Zertifikat tun.

4) Importieren Sie das Zertifikat oder die Zertifikate, die in 3, c erstellt wurden, in den JAVA-Trust-Keystore:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Ersetzen Sie ALIAS_NAME durch einen Alias für das importierte Zertifikat. In der Regel ist dies der LDAPS-Servername. Beim Importieren mehrerer Zertifikate für eine Zertifikatkette muss jedes Zertifikat einen anderen ALIAS-Namen haben und separat importiert werden. Die Zertifikatkette muss auch in der Reihenfolge aus Schritt 3, a (von oben nach unten) importiert werden.
• Ersetzen Sie PATH_TO\CERT_FILE durch den Speicherort der Zertifikatdatei, die Sie in Schritt 3, c erstellt haben.

Sie werden aufgefordert, das Zertifikat zu importieren, geben Sie yes ein und drücken Sie die Eingabetaste.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Starten Sie die NetWorker-Serverservices neu. 
 
Linux: nsr_shutdown-Service-Networker
windows starten
: net stop nsrd
net start nsrd
 

 

Erstellen einer externen Autoritätsressource "AD over SSL" aus der NWUI

1. Greifen Sie über einen Webbrowser auf den NWUI-Server zu:
https://nwui-server-name:9090/nwui2. Melden Sie sich mit dem NetWorker-Administratorkonto an.
3. Erweitern Sie im Menü Authentifizierungsserver und klicken Sie auf Externe Autoritäten.
4. Klicken Sie unter "Externe Autoritäten" auf "Hinzufügen".
5. Füllen Sie die Konfigurationsfelder aus:

Basiskonfiguration:

Feld	Wert
Name	Ein beschreibender Name ohne Leerzeichen für die LDAP- oder AD-Konfiguration. Die maximale Anzahl von Zeichen beträgt 256. Geben Sie ASCII-Zeichen nur im Konfigurationsnamen an.
Servertyp	AD über SSL
Name des Anbieterservers	Gibt den Hostnamen oder die IP-Adresse des Active Directory-Servers an.
Schnittstelle	Port 636 wird für SSL verwendet. Dieses Feld sollte automatisch ausgefüllt werden, wenn "AD over SSL" ausgewählt ist.
Mieter	Wählen Sie den Mandanten aus, falls konfiguriert. Wenn kein Mandant konfiguriert oder erforderlich ist, können Sie die Standardeinstellung verwenden.  Die Konfiguration eines Mandanten erfordert die folgende Anmeldesyntax "tenant_name\domain_name\user_name". Wenn der Standardmandant verwendet wird (allgemein), lautet die Anmeldesyntax "domain_name\user_name".  Mandant: organisatorische Container der obersten Ebene für den NetWorker Authentication Service. Jede externe Authentifizierungsstelle in der lokalen Datenbank wird einem Mandanten zugewiesen. Ein Mandant kann eine oder mehrere Domains enthalten, aber die Domainnamen müssen innerhalb des Mandanten eindeutig sein. Der NetWorker Authentication Service erstellt einen integrierten Mandantennamen Default, der die Standarddomain enthält. Das Erstellen mehrerer Mandanten hilft Ihnen beim Management komplexer Konfigurationen. Beispielsweise können Serviceanbieter mit eingeschränkten Datazones (RDZ) mehrere Mandanten erstellen, um Mandantennutzern isolierte Data-Protection-Services bereitzustellen.
Domäne	der vollständige Domainname einschließlich aller DC-Werte; z. B.: example.com
Nutzer-DN	Gibt den vollständigen DN (Distinguished Name) eines Benutzerkontos mit vollständigem Lesezugriff auf das AD-Verzeichnis an.
Nutzer-DN-Kennwort	Gibt das Passwort des Benutzerkontos an, das für den Zugriff auf und das Lesen von AD Direct verwendet wird.

 

Erweiterte Konfiguration:

Gruppenobjektklasse	Erforderlich. Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert. ● Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames. ● Verwenden Sie für AD die Gruppe.
Gruppensuchpfad (optional)	Ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der LDAP- oder AD-Hierarchie verwenden soll.
Attribut "Gruppenname"	Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
Gruppenmitgliedsattribut	Die Gruppenmitgliedschaft des Benutzers innerhalb einer Gruppe. ● Für LDAP: dass wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut häufig Mitglied. dass wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut häufig uniquemember. ● Bei AD ist der Wert häufig Mitglied.
Benutzerobjektklasse	Die Objektklasse, die die Benutzer in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: Person.
Benutzersuchpfad (optional)	Der DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Benutzern in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad in Bezug auf den Basis-DN an, den Sie in der Option configserver-address angegeben haben. Geben Sie z. B. für AD cn=users an.
Benutzer-ID-Attribut	Die Benutzer-ID, die dem Benutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist. Für LDAP ist dieses Attribut häufig uid. Für AD ist dieses Attribut in der Regel sAMAccountName.

 

6. Wenn Sie fertig sind, klicken Sie auf Speichern.
7. Eine Zusammenfassung der konfigurierten externen Autoritätsressource sollte nun angezeigt werden:

 

8. Bearbeiten Sie im Menü Server->User Groups die Benutzergruppen, die die Rechte enthalten, die Sie an AD-/LDAP-Gruppen oder -Benutzer übertragen möchten. Um z. B. vollständige Administratorrechte zu gewähren, sollte der AD-Gruppen-/Benutzer-DN im Feld "Externe Rollen" der Rollen "Anwendungsadministratoren" und "Sicherheitsadministratoren" angegeben werden.

Z. B.: CN=NetWorker_Admins,CN=Benutzer,DC=emclab,DC=local

9. Sobald die AD-Gruppe und/oder Benutzer-DNs angegeben wurden, klicken Sie auf Speichern. 
10. Melden Sie sich bei der NWUI-Schnittstelle an und melden Sie sich mit dem AD-Konto wieder an:

11. Das Benutzersymbol in der oberen rechten Ecke zeigt an, welches Benutzerkonto angemeldet ist.

Sie können den Befehl authc_mgmt auf Ihrem NetWorker-Server verwenden, um zu bestätigen, dass die AD-/LDAP-Gruppen/-Benutzer sichtbar sind:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Z. B.:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Weitere Ressourcen:

• NetWorker: Einrichten von LDAP/AD mithilfe von authc_config-Skripten
• NetWorker: Einrichten der AD/LDAP-Authentifizierung
• NetWorker: Zurücksetzen des Administratorkennworts