Zu den Hauptinhalten
  • Bestellungen schnell und einfach aufgeben
  • Bestellungen anzeigen und den Versandstatus verfolgen
  • Profitieren Sie von exklusiven Prämien und Rabatten für Mitglieder
  • Erstellen Sie eine Liste Ihrer Produkte, auf die Sie jederzeit zugreifen können.

NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webbenutzeroberfläche (NWUI)

Zusammenfassung: In diesem Wissensdatenbank-Artikel wird der Prozess beschrieben, der für die Konfiguration von "AD over SSL" (LDAPS) über die NetWorker-Webbenutzeroberfläche (NWUI) erforderlich ist. Die Option zum Konfigurieren externer Autoritäts-Repositories von NWUI wurde in NetWorker 19.6.x und höher verfügbar gemacht. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.

Weisungen

Um eine SSL-Verbindung für die Authentifizierung zu konfigurieren, muss die Stammzertifizierungsstelle (oder bei Verwendung der CA-Kette) in die cacerts-Datei importiert werden, die vom authc-Prozess von NetWorker verwendet wird.

Konfigurieren von AUTHC für die Verwendung von SSL

1) Öffnen Sie eine Administrative/Root-Eingabeaufforderung im Java-Bin-Verzeichnis.
  • Wenn Sie NetWorker Runtime Environment (NRE) für die Java-Instanz des AUTHC-Servers verwenden, lautet der Speicherort wie folgt:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program Files\NRE\java\jrex. x.x_xxx\bin
  • Wenn Sie Oracle Java verwenden, kann sich der Dateipfad je nach installierter und verwendeter Java-Version unterscheiden. 
2, a) Zeigt eine Liste der aktuellen vertrauenswürdigen Zertifikate im Vertrauensspeicher an.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Das Standardpasswort für den storepass ist changeit.
  • Auf Windows-Servern würde der Keytool-Befehl aus dem Java-Bin-Verzeichnis ausgeführt werden, würde aber wie folgt aussehen:
    • keytool -list -keystore. \lib\security\cacerts -storepass changeit
2, b) Überprüfen Sie die Liste auf einen Alias, der Ihrem LDAPS-Server entspricht (dies ist möglicherweise nicht vorhanden). Sie können die Befehle "operating system grep" oder "findstr" mit dem obigen Befehl verwenden, um die Suche einzugrenzen. Wenn ein veraltetes oder vorhandenes CA-Zertifikat von Ihrem LDAPS-Server vorhanden ist, löschen Sie es mit dem folgenden Befehl:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Ersetzen Sie ALIAS_NAME durch den Aliasnamen des LDAPS-Servers, der aus der Ausgabe in 2, a erfasst wurde.
3, a) Verwenden Sie das OpenSSL-Tool, um eine Kopie des CA-Zertifikats vom LDAPS-Server zu erhalten.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Standardmäßig enthalten Windows-Hosts nicht das OpenSL-Programm. Wenn es nicht möglich ist, OpenSSL auf dem NetWorker-Server zu installieren, können die Zertifikate direkt vom LDAPS-Server exportiert werden. es wird jedoch dringend empfohlen, das OpenSSL-Dienstprogramm zu verwenden. 
  • In Linux ist in der Regel opensl installiert. Wenn Sie Linux-Server in der Umgebung haben, können Sie opensl dort verwenden, um die Zertifikatdateien zu erfassen/zu erstellen. Diese können auf den Windows authc-Server kopiert und dort verwendet werden.
  • Wenn Sie nicht über OpenSSL verfügen und es nicht installiert werden kann, muss Ihr AD-Administrator ein oder mehrere Zertifikate bereitstellen, indem er sie als Base-64-codiertes x.509-Format exportiert.
  • Ersetzen Sie LDAPS_SERVER durch den Hostnamen oder die IP-Adresse Ihres LDAPS-Servers.

3, b) Mit dem obigen Befehl wird das CA-Zertifikat oder eine Zertifikatkette im PEM-Format ausgegeben, z. B.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
HINWEIS: Wenn eine Zertifikatkette vorhanden ist, ist das letzte Zertifikat das CA-Zertifikat. Sie müssen jedes Zertifikat in der Kette in der Reihenfolge (von oben nach unten) importieren, die mit dem CA-Zertifikat endet.
 
3, c) Kopieren Sie das Zertifikat ab ---BEGIN CERTIFICATE--- und enden Sie mit ---END CERTIFICATE--- und fügen Sie es in eine neue Datei ein. Wenn eine Kette von Zertifikaten vorhanden ist, müssen Sie dies mit jedem Zertifikat tun.

4) Importieren Sie das Zertifikat oder die Zertifikate, die in 3, c erstellt wurden, in den JAVA-Trust-Keystore:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Ersetzen Sie ALIAS_NAME durch einen Alias für das importierte Zertifikat. In der Regel ist dies der LDAPS-Servername. Beim Importieren mehrerer Zertifikate für eine Zertifikatkette muss jedes Zertifikat einen anderen ALIAS-Namen haben und separat importiert werden. Die Zertifikatkette muss auch in der Reihenfolge aus Schritt 3, a (von oben nach unten) importiert werden.
  • Ersetzen Sie PATH_TO\CERT_FILE durch den Speicherort der Zertifikatdatei, die Sie in Schritt 3, c erstellt haben.
Sie werden aufgefordert, das Zertifikat zu importieren, geben Sie yes ein und drücken Sie die Eingabetaste.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

HINWEIS: Führen Sie (|) den Befehl grep oder findstr des Betriebssystems auf den obigen Befehl aus, um das Ergebnis einzugrenzen. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Starten Sie die NetWorker-Serverservices neu
 
Linux: nsr_shutdown-Service-Networker
windows starten

: net stop nsrd
net start nsrd

 
HINWEIS: Wenn die NetWorker-Serverservices nicht neu gestartet werden, liest authc die Cacerts-Datei nicht und erkennt nicht die importierten Zertifikate, die für die Einrichtung der SSL-Kommunikation mit dem LDAP-Server erforderlich sind.

 

Erstellen einer externen Autoritätsressource "AD over SSL" aus der NWUI

1. Greifen Sie über einen Webbrowser auf den NWUI-Server zu:
https://nwui-server-name:9090/nwui2. Melden Sie sich mit dem NetWorker-Administratorkonto an.
3. Erweitern Sie im Menü Authentifizierungsserver und klicken Sie auf Externe Autoritäten.
4. Klicken Sie unter "Externe Autoritäten" auf "Hinzufügen".
5. Füllen Sie die Konfigurationsfelder aus:

Basiskonfiguration:
Feld Wert
Name Ein beschreibender Name ohne Leerzeichen für die LDAP- oder AD-Konfiguration. Die maximale Anzahl von Zeichen beträgt 256. Geben Sie ASCII-Zeichen nur im Konfigurationsnamen an.
Servertyp AD über SSL
Name des Anbieterservers  Gibt den Hostnamen oder die IP-Adresse des Active Directory-Servers an.
Schnittstelle Port 636 wird für SSL verwendet. Dieses Feld sollte automatisch ausgefüllt werden, wenn "AD over SSL" ausgewählt ist.
Mieter Wählen Sie den Mandanten aus, falls konfiguriert. Wenn kein Mandant konfiguriert oder erforderlich ist, können Sie die Standardeinstellung verwenden. 
Die Konfiguration eines Mandanten erfordert die folgende Anmeldesyntax "tenant_name\domain_name\user_name". Wenn der Standardmandant verwendet wird (allgemein), lautet die Anmeldesyntax "domain_name\user_name". 

Mandant: organisatorische Container der obersten Ebene für den NetWorker Authentication Service. Jede externe Authentifizierungsstelle in der lokalen Datenbank wird einem Mandanten zugewiesen. Ein Mandant kann eine oder mehrere Domains enthalten, aber die Domainnamen müssen innerhalb des Mandanten eindeutig sein. Der NetWorker Authentication Service erstellt einen integrierten Mandantennamen Default, der die Standarddomain enthält. Das Erstellen mehrerer Mandanten hilft Ihnen beim Management komplexer Konfigurationen. Beispielsweise können Serviceanbieter mit eingeschränkten Datazones (RDZ) mehrere Mandanten erstellen, um Mandantennutzern isolierte Data-Protection-Services bereitzustellen.
Domäne der vollständige Domainname einschließlich aller DC-Werte; z. B.: example.com
Nutzer-DN Gibt den vollständigen DN (Distinguished Name) eines Benutzerkontos mit vollständigem Lesezugriff auf das AD-Verzeichnis an.
Nutzer-DN-Kennwort Gibt das Passwort des Benutzerkontos an, das für den Zugriff auf und das Lesen von AD Direct verwendet wird.
 
Erweiterte Konfiguration:
Gruppenobjektklasse Erforderlich. Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
● Verwenden Sie für LDAP groupOfUniqueNames oder
groupOfNames.
● Verwenden Sie für AD die Gruppe.
Gruppensuchpfad (optional) Ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der LDAP- oder AD-Hierarchie verwenden soll.
Attribut "Gruppenname" Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
Gruppenmitgliedsattribut Die Gruppenmitgliedschaft des Benutzers
innerhalb einer Gruppe.
● Für LDAP:
dass wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut häufig Mitglied.
dass wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut häufig uniquemember.
● Bei AD ist der Wert häufig Mitglied.
Benutzerobjektklasse Die Objektklasse, die die Benutzer in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: Person.
Benutzersuchpfad (optional) Der DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Benutzern in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad in Bezug auf den Basis-DN an, den Sie in der Option configserver-address angegeben haben. Geben Sie z. B. für AD cn=users an.
Benutzer-ID-Attribut Die Benutzer-ID, die dem Benutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
Für LDAP ist dieses Attribut häufig uid.
Für AD ist dieses Attribut in der Regel sAMAccountName.

 

HINWEIS: Wenden Sie sich an Ihren AD/LDAP-Administrator, um zu bestätigen, welche AD-/LDAP-spezifischen Felder für Ihre Umgebung erforderlich sind.

6. Wenn Sie fertig sind, klicken Sie auf Speichern.
7. Eine Zusammenfassung der konfigurierten externen Autoritätsressource sollte nun angezeigt werden:

 

Beispiel für eine konfigurierte AD-over-SSL-Ressource im Fenster

8. Bearbeiten Sie im Menü Server->User Groups die Benutzergruppen, die die Rechte enthalten, die Sie an AD-/LDAP-Gruppen oder -Benutzer übertragen möchten. Um z. B. vollständige Administratorrechte zu gewähren, sollte der AD-Gruppen-/Benutzer-DN im Feld "Externe Rollen" der Rollen "Anwendungsadministratoren" und "Sicherheitsadministratoren" angegeben werden.

Z. B.: CN=NetWorker_Admins,CN=Benutzer,DC=emclab,DC=localAnwendungsadministratoren

9. Sobald die AD-Gruppe und/oder Benutzer-DNs angegeben wurden, klicken Sie auf Speichern. 
10. Melden Sie sich bei der NWUI-Schnittstelle an und melden Sie sich mit dem AD-Konto wieder an:

Beispiel für NWUI AD-Anmeldung

11. Das Benutzersymbol in der oberen rechten Ecke zeigt an, welches Benutzerkonto angemeldet ist.

Weitere Informationen

Sie können den Befehl authc_mgmt auf Ihrem NetWorker-Server verwenden, um zu bestätigen, dass die AD-/LDAP-Gruppen/-Benutzer sichtbar sind:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Z. B.:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
HINWEIS: Auf einigen Systemen können die authc-Befehle mit einem Fehler "incorrect password" fehlschlagen, selbst wenn das richtige Passwort angegeben wird. Dies liegt daran, dass das Passwort als sichtbarer Text mit der Option "-p" angegeben wird. Wenn dies auftritt, entfernen Sie "-p password" aus den Befehlen. Sie werden aufgefordert, das kennwort einzugeben, das nach dem Ausführen des Befehls ausgeblendet wurde.


Weitere Ressourcen:

Betroffene Produkte

NetWorker

Produkte

NetWorker Family, NetWorker Series
Artikeleigenschaften
Artikelnummer: 000203005
Artikeltyp: How To
Zuletzt geändert: 20 Juni 2024
Version:  6
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.