NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI)
Zusammenfassung: In diesem Wissensdatenbank-Artikel wird der Prozess beschrieben, der für die Konfiguration von "AD over SSL" (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI) erforderlich ist.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Weisungen
Um die SSL-Authentifizierung zu konfigurieren, importieren Sie die Stamm-CA (oder die CA-Kette) in die Cacerts-Datei, die vom authc-Server von NetWorker verwendet wird. In Umgebungen mit einem einzigen NetWorker-Server ist der Server der Authentifizierungsserver. In größeren Datenzonen kann ein AuthC-Server der primäre Authentifizierungsserver für mehrere Server sein. Anweisungen zur Identifizierung des authc-Servers finden Sie im Feld "Zusätzliche Informationen".
Konfigurieren von AUTHC für die Verwendung von SSL
Linux NetWorker-Server:
- Öffnen Sie eine SSH-Sitzung zum NetWorker-authc-Server.
- Wechseln Sie zum Root-Nutzer:
$ sudo su -
- Verwenden Sie OpenSSL, um das CA-Zertifikat (oder die Zertifikatskette) vom Domänenserver abzurufen:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Das CA-Zertifikat ist in -----BEGIN CERTIFICATE ----- und -----END CERTIFICATE----- eingeschlossen. Wenn ein Kettenzertifikat verwendet wird, werden mehrere Zertifikate verwendet, wobei die ersten aufgeführten Zertifikate Zwischenzertifikate sind und das letzte aufgeführte Zertifikat die Stammzertifizierungsstelle ist.
- Einzelnes Zertifikat: Kopieren Sie das Zertifikat einschließlich des -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und legen Sie es in einer Datei namens RCAcert.crt an einem Speicherort Ihrer Wahl ab.
- Zertifikatskette: Kopieren Sie jedes Zertifikat (einschließlich der Felder -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und fügen Sie sie in einzelne Dateien ein. Beispiel: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt und schließlich RCAcert.crt.
- Um den Prozess zu vereinfachen, legen Sie die folgenden Befehlszeilenvariablen fest:
# java_bin=<path to java bin dir> *NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory. # RCAcert=<path to RCAcer.crt> # ICA1cert=<path to ICA2cert.crt> *NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Beispiel:
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin [root@nsr certs]# RCAcert=/root/certs/RCAcert.crt [root@nsr certs]#
- Importieren Sie die Zertifikate:
Ein. Wenn Sie eine Zertifikatkette verwenden, importieren Sie jedes Zertifikat in der Kette, die zum Stammzertifikat (RCA) führt. Wenn nur eine einzige Stammzertifizierungsstelle verwendet wird, importieren Sie die Stammzertifizierungsstelle.
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit # $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit # $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Sie werden aufgefordert, das Zertifikat im Cacerts-Keystore zu akzeptieren.
B. Wenn Sie über einen doppelten Alias (vorheriges, abgelaufenes Zertifikat) informiert werden, löschen Sie das vorhandene Zertifikat mit demselben Alias:
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Wiederholen Sie Schritt A, nachdem das alte Zertifikat entfernt wurde.
- Starten Sie die NetWorker-Serverservices neu. Durch den Neustart von Services wird die Cacerts-Datei während des authc-Starts neu geladen. Wenn die NetWorker-Services nach dem Importieren der Zertifikate nicht neu gestartet werden, schlägt der Prozess zum Konfigurieren der externen Zertifizierungsstelle in NetWorker mit einem zertifikatbezogenen Fehler fehl.
# nsr_shutdown # systemctl start networker
Windows NetWorker-Server:
HINWEIS: Verwenden Sie OpenSSL, um eine Verbindung zum Domänenserver herzustellen und das CA-Zertifikat (oder die Kette) abzurufen, das für AD über SSL erforderlich ist. Windows-Server enthalten standardmäßig kein OpenSSL. Es kann jedoch installiert werden. Alternativ kann der Domainadministrator anstelle von OpenSSL das CA-Zertifikat (und ggf. die Kette) bereitstellen. Sie müssen im PEM-Format bereitgestellt werden. Die Verwendung von OpenSSL direkt vom Authentifizierungsserver ist die bevorzugte Methode.
- Öffnen Sie eine Administrator-Eingabeaufforderung.
- Legen Sie die folgenden Variablen fest:
set openssl="<path to openssl.exe file>" *NOTE* This path can differ depending on how OpenSSL was installed. set java_bin="<path to java bin directory>" *NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Beispiel:
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe" C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin" C:\Users\administrator.AMER>
- Verwenden Sie OpenSSL, um das CA-Zertifikat (oder die Zertifikatskette) vom Domänenserver abzurufen:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Das CA-Zertifikat ist in -----BEGIN CERTIFICATE ----- und -----END CERTIFICATE----- eingeschlossen. Wenn ein Kettenzertifikat verwendet wird, werden mehrere Zertifikate angezeigt: das erste sind Zwischenzertifikate und das letzte ist die Stammzertifizierungsstelle.
- Einzelnes Zertifikat: Kopieren Sie das Zertifikat einschließlich des -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und legen Sie es in einer Datei namens RCAcert.crt an einem Speicherort Ihrer Wahl ab.
- Zertifikatskette: Kopieren Sie jedes Zertifikat (einschließlich der Felder -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und fügen Sie sie in einzelne Dateien ein. Beispiel: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt und schließlich RCAcert.crt.
- Legen Sie Befehlszeilenvariablen für die Stammzertifizierungsstelle und alle Zwischenzertifikate fest (falls verwendet):
set RCAcert="<path to RCAcert.crt>" set ICA1cert="<path to ICA1cert.crt>"
Beispiel:
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
- Importieren Sie die Zertifikate:
Ein. Wenn Sie eine Zertifikatskette verwenden, importieren Sie jedes Zertifikat in der Kette, die zur RCA führt. Wenn nur eine einzige Stammzertifizierungsstelle verwendet wird, importieren Sie die Stammzertifizierungsstelle.
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit %java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit %java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit %java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Sie werden aufgefordert, das Zertifikat im Cacerts-Keystore zu akzeptieren.
B. Wenn Sie über einen doppelten Alias (vorheriges, abgelaufenes Zertifikat) informiert werden, löschen Sie das vorhandene Zertifikat mit demselben Alias:
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Wiederholen Sie Schritt A, nachdem das alte Zertifikat entfernt wurde.
- Starten Sie die NetWorker-Serverservices neu. Durch den Neustart von Services wird die Cacerts-Datei während des authc-Starts neu geladen. Wenn die NetWorker-Services nach dem Importieren der Zertifikate nicht neu gestartet werden, schlägt der Prozess zum Konfigurieren der externen Zertifizierungsstelle in NetWorker mit einem zertifikatbezogenen Fehler fehl.
net stop nsrd net start nsrd
Erstellen einer externen Autoritätsressource "AD over SSL" über NWUI.
- Greifen Sie über einen Webbrowser auf den NWUI-Server zu: https:// nwui-server-name:9090/nwui
- Melden Sie sich mit dem NetWorker-Administratorkonto an.
- Erweitern Sie im Menü die Option Authentifizierungsserver und klicken Sie auf Externe Zertifizierungsstellen.
- Klicken Sie unter "Externe Authentifizierungsstellen" auf "Add+".
- Füllen Sie die Konfigurationsfelder aus:
Basiskonfiguration
|
Feld
|
Wert
|
|
Name
|
Ein beschreibender Name ohne Leerzeichen für die LDAP- oder AD-Konfiguration. Die maximale Anzahl von Zeichen ist 256. Geben Sie ASCII-Zeichen nur im Konfigurationsnamen an.
|
|
Servertyp
|
AD über SSL
|
|
Name des Anbieterservers
|
Gibt den Hostnamen oder die IP-Adresse des Active Directory-Servers an
|
|
Schnittstelle
|
Port 636 wird für SSL verwendet. Dieses Feld sollte automatisch ausgefüllt werden, wenn "AD over SSL" ausgewählt ist.
|
|
Mieter
|
Wählen Sie den Mandanten aus, sofern konfiguriert. Wenn kein Mandant konfiguriert oder erforderlich ist, können Sie die Option "default" verwenden.
Die Konfiguration eines Mandanten erfordert die folgende Anmeldesyntax "tenant_name\domain_name\user_name". Wenn der Standardmandant verwendet wird (allgemein), lautet die Anmeldesyntax "domain_name\user_name". Mandant: Organisationscontainer der obersten Ebene für den NetWorker-Authentifizierungsservice. Jede externe Authentifizierungsstelle in der lokalen Datenbank wird einem Mandanten zugewiesen. Ein Mandant kann eine oder mehrere Domains enthalten, aber die Domainnamen müssen innerhalb des Mandanten eindeutig sein. Der NetWorker-Authentifizierungsservice erstellt den integrierten Mandantennamen "Default", der die Standarddomain enthält. Das Erstellen mehrerer Mandanten erleichtert Ihnen die Verwaltung komplexer Konfigurationen. Beispielsweise können Serviceanbieter mit eingeschränkten Datenzonen (RDZ) mehrere Mandanten erstellen, um isolierte Data-Protection-Services für Mandantennutzer bereitzustellen. |
|
Domäne
|
Der vollständige Domänenname einschließlich aller DC-Werte; z.B.: example.com
|
|
Nutzer-DN
|
Gibt den vollständigen Distinguished Name (DN) eines Nutzerkontos an, das vollständigen Lesezugriff auf das AD-Verzeichnis hat
|
|
Nutzer-DN-Kennwort
|
Gibt das Kennwort des Nutzerkontos an, das für den Zugriff auf und das Lesen von AD Direct verwendet wird
|
Erweiterte Konfiguration
|
Gruppenobjektklasse
|
Erforderlich. Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
● Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames ● Verwenden Sie für AD group |
|
Gruppensuchpfad (optional)
|
Ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der LDAP- oder AD-Hierarchie verwenden soll.
|
|
Gruppenname-Attribut
|
Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
|
|
Gruppenmitglied-Attribut
|
Die Gruppenmitgliedschaft des Nutzers innerhalb einer Gruppe:
● Für LDAP:
○ Wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut in der Regel member.
○ Wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut in der Regel uniquemember.
● Bei AD ist der Wert in der Regel member.
|
|
Nutzerobjektklasse
|
Die Objektklasse, die die Nutzer in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: person.
|
|
Nutzersuchpfad (optional)
|
Der DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Nutzern in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad an, der relativ zum Basis-DN ist, den Sie in der Option configserver-address angegeben haben. Geben Sie beispielsweise für AD cn=users an.
|
|
Nutzer-ID-Attribut
|
Die Nutzer-ID, die dem Nutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
Für LDAP ist dieses Attribut üblicherweise uid. Für AD ist dieses Attribut in der Regel sAMAccountName. |
HINWEIS: Wenden Sie sich an Ihren AD/LDAP-Administrator, um zu bestätigen, welche AD/LDAP-spezifischen Felder für Ihre Umgebung erforderlich sind.
- Wenn Sie fertig sind, klicken Sie auf "Speichern".
- Eine Zusammenfassung der konfigurierten externen Autoritätsressource sollte nun angezeigt werden:
- Bearbeiten Sie im Menü "Server-Nutzergruppen>" die Nutzergruppen, die die Rechte enthalten, die Sie an AD-/LDAP-Gruppen oder -Nutzer delegieren möchten. Um vollständige Administratorrechte zu gewähren, geben Sie den AD-Gruppen-/Nutzer-DN im Feld Externe Rollen der Rollen Anwendungsadministratoren und Sicherheitsadministratoren an.
Beispiel: CN=NetWorker_Admins,DC=amer,DC=lan
Dies kann auch über die Befehlszeile erfolgen:
nsraddadmin -e "Distinguished_Name"
Beispiel:
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.
- Sobald die AD-Gruppen- oder Nutzer-DNs angegeben wurden, klicken Sie auf Speichern.
- Melden Sie sich von der NWUI-Schnittstelle ab und melden Sie sich mit dem AD-Konto wieder an:
- Das Nutzersymbol in der oberen rechten Ecke zeigt an, welches Nutzerkonto angemeldet ist.
Weitere Informationen
Bestätigen des für die NetWorker-Authentifizierung
verwendeten AUTHC-ServersDie Datei gstd.conf des NMC-Servers (NetWorker Management Console) zeigt an, welcher Host zum Verarbeiten von Anmeldeanforderungen verwendet wird:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
Überprüfen Sie die Datei auf den authsvc_hostname Wert. Der authsvc_hostname ist der authc-Server (Authentifizierungsserver).
So überprüfen Sie die AD-Gruppenmitgliedschaft und rufen die DN-Werte (Distinguished Name) ab, die für NetWorker-Berechtigungen erforderlich sind:
Sie können die Funktion authcmgmt Befehl auf dem NetWorker-Server, um zu bestätigen, dass die AD/LDAP-Gruppen/-Nutzer sichtbar sind:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Beispiel:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 47 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan ... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 72 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan [root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
HINWEIS: Auf einigen Systemen wird das Symbol
authc Befehle können mit dem Fehler "falsches Kennwort" fehlschlagen, selbst wenn das richtige Kennwort angegeben wurde. Dies liegt daran, dass das Kennwort als sichtbarer Text mit dem Symbol -p verwendet wird. Wenn dies der Fall ist, entfernen Sie -p password aus den Befehlen. Sie werden aufgefordert, das Kennwort einzugeben, das nach dem Ausführen des Befehls verborgen ist.
Weitere relevante Artikel:
- NetWorker: Einrichten von LDAP/AD mithilfe authc_config Skripte
- NetWorker: Einrichten der AD/LDAP-Authentifizierung
- NetWorker: Zurücksetzen des Administratorkennworts
- NetWorker: Die LDAPS-Integration schlägt fehl mit der Meldung "Beim Versuch, eine Verbindung zum LDAPS-Server herzustellen, ist ein SSL-Handshake-Fehler aufgetreten: Es konnte kein gültiger Zertifizierungspfad zum angeforderten Ziel gefunden werden."
- NetWorker: Importieren oder Ersetzen von von Zertifizierungsstellen signierten Zertifikaten für "authc" und "NWUI" (Linux)
- NetWorker: Importieren oder Ersetzen von von Zertifizierungsstellen signierten Zertifikaten für "authc" und "NWUI" (Windows)
Betroffene Produkte
NetWorkerProdukte
NetWorker Family, NetWorker SeriesArtikeleigenschaften
Artikelnummer: 000203005
Artikeltyp: How To
Zuletzt geändert: 14 Feb. 2025
Version: 9
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.