[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
openssl s_client -showcerts -connect LDAPS_SERVER:636
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Starten Sie die NetWorker-Serverservices neu.
1. Greifen Sie über einen Webbrowser auf den NWUI-Server zu:
https://nwui-server-name:9090/nwui2. Melden Sie sich mit dem NetWorker-Administratorkonto an.
3. Erweitern Sie im Menü Authentifizierungsserver und klicken Sie auf Externe Autoritäten.
4. Klicken Sie unter "Externe Autoritäten" auf "Hinzufügen".
5. Füllen Sie die Konfigurationsfelder aus:
Feld | Wert |
Name | Ein beschreibender Name ohne Leerzeichen für die LDAP- oder AD-Konfiguration. Die maximale Anzahl von Zeichen beträgt 256. Geben Sie ASCII-Zeichen nur im Konfigurationsnamen an. |
Servertyp | AD über SSL |
Name des Anbieterservers | Gibt den Hostnamen oder die IP-Adresse des Active Directory-Servers an. |
Schnittstelle | Port 636 wird für SSL verwendet. Dieses Feld sollte automatisch ausgefüllt werden, wenn "AD over SSL" ausgewählt ist. |
Mieter | Wählen Sie den Mandanten aus, falls konfiguriert. Wenn kein Mandant konfiguriert oder erforderlich ist, können Sie die Standardeinstellung verwenden. Die Konfiguration eines Mandanten erfordert die folgende Anmeldesyntax "tenant_name\domain_name\user_name". Wenn der Standardmandant verwendet wird (allgemein), lautet die Anmeldesyntax "domain_name\user_name". Mandant: organisatorische Container der obersten Ebene für den NetWorker Authentication Service. Jede externe Authentifizierungsstelle in der lokalen Datenbank wird einem Mandanten zugewiesen. Ein Mandant kann eine oder mehrere Domains enthalten, aber die Domainnamen müssen innerhalb des Mandanten eindeutig sein. Der NetWorker Authentication Service erstellt einen integrierten Mandantennamen Default, der die Standarddomain enthält. Das Erstellen mehrerer Mandanten hilft Ihnen beim Management komplexer Konfigurationen. Beispielsweise können Serviceanbieter mit eingeschränkten Datazones (RDZ) mehrere Mandanten erstellen, um Mandantennutzern isolierte Data-Protection-Services bereitzustellen. |
Domäne | der vollständige Domainname einschließlich aller DC-Werte; z. B.: example.com |
Nutzer-DN | Gibt den vollständigen DN (Distinguished Name) eines Benutzerkontos mit vollständigem Lesezugriff auf das AD-Verzeichnis an. |
Nutzer-DN-Kennwort | Gibt das Passwort des Benutzerkontos an, das für den Zugriff auf und das Lesen von AD Direct verwendet wird. |
Gruppenobjektklasse | Erforderlich. Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert. ● Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames. ● Verwenden Sie für AD die Gruppe. |
Gruppensuchpfad (optional) | Ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der LDAP- oder AD-Hierarchie verwenden soll. |
Attribut "Gruppenname" | Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn. |
Gruppenmitgliedsattribut | Die Gruppenmitgliedschaft des Benutzers innerhalb einer Gruppe. ● Für LDAP: dass wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut häufig Mitglied. dass wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut häufig uniquemember. ● Bei AD ist der Wert häufig Mitglied. |
Benutzerobjektklasse | Die Objektklasse, die die Benutzer in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: Person. |
Benutzersuchpfad (optional) | Der DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Benutzern in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad in Bezug auf den Basis-DN an, den Sie in der Option configserver-address angegeben haben. Geben Sie z. B. für AD cn=users an. |
Benutzer-ID-Attribut | Die Benutzer-ID, die dem Benutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist. Für LDAP ist dieses Attribut häufig uid. Für AD ist dieses Attribut in der Regel sAMAccountName. |
8. Bearbeiten Sie im Menü Server->User Groups die Benutzergruppen, die die Rechte enthalten, die Sie an AD-/LDAP-Gruppen oder -Benutzer übertragen möchten. Um z. B. vollständige Administratorrechte zu gewähren, sollte der AD-Gruppen-/Benutzer-DN im Feld "Externe Rollen" der Rollen "Anwendungsadministratoren" und "Sicherheitsadministratoren" angegeben werden.
Z. B.: CN=NetWorker_Admins,CN=Benutzer,DC=emclab,DC=local
9. Sobald die AD-Gruppe und/oder Benutzer-DNs angegeben wurden, klicken Sie auf Speichern.
10. Melden Sie sich bei der NWUI-Schnittstelle an und melden Sie sich mit dem AD-Konto wieder an:
11. Das Benutzersymbol in der oberen rechten Ecke zeigt an, welches Benutzerkonto angemeldet ist.
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Z. B.:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...