Zu den Hauptinhalten
Abmelden

Willkommen bei Dell

Mein Konto
  • Bestellungen schnell und einfach aufgeben
  • Bestellungen anzeigen und den Versandstatus verfolgen
  • Profitieren Sie von exklusiven Prämien und Rabatten für Mitglieder
  • Erstellen Sie eine Liste Ihrer Produkte, auf die Sie jederzeit zugreifen können.
Anmelden Konto erstellen Premier-Anmeldung Anmeldung beim Partnerprogramm
Kontakt

Ihr Warenkorb bei Dell.com

NetWorker: Konfiguration von „AD over SSL“ (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI)

Zusammenfassung: In diesem Wissensdatenbank-Artikel wird der Prozess beschrieben, der für die Konfiguration von „AD over SSL“ (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI) erforderlich ist.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Um die SSL-Authentifizierung zu konfigurieren, importieren Sie die Stamm-CA (oder die CA-Kette) in die cacerts-Datei, die vom authc-Server von NetWorker verwendet wird. In Umgebungen mit einem einzigen NetWorker-Server ist der Server der Authentifizierungsserver. In größeren Datenzonen kann ein AuthC-Server der primäre Authentifizierungsserver für mehrere Server sein. Anweisungen zur Identifizierung des authc-Servers finden Sie im Feld Zusätzliche Informationen.


Konfigurieren von AUTHC für die Verwendung von SSL

Linux-NetWorker-Server:

  1. Öffnen Sie eine SSH-Sitzung zum NetWorker-authc-Server.
  2. Wechseln Sie zum Root-Nutzer:
$ sudo su -
  1. Verwenden Sie OpenSSL, um das CA-Zertifikat (oder die Zertifikatskette) vom Domainserver abzurufen:
# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Das CA-Zertifikat ist in -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- eingeschlossen. Wenn ein Kettenzertifikat verwendet wird, werden mehrere Zertifikate verwendet, wobei die ersten aufgeführten Zertifikate Zwischenzertifikate sind und das letzte aufgeführte Zertifikat die Stammzertifizierungsstelle ist.
  • Einzelnes Zertifikat: Kopieren Sie das Zertifikat einschließlich -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und legen Sie es in einer Datei namens RCAcert.crt an einem Speicherort Ihrer Wahl ab.
  • Zertifikatskette: Kopieren Sie jedes Zertifikat (einschließlich der Felder -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und fügen Sie sie in einzelne Dateien ein. Beispiel: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt und schließlich RCAcert.crt.
  1. Um den Prozess zu vereinfachen, legen Sie die folgenden Befehlszeilenvariablen fest:
# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.
Beispiel: 
[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#
  1. Zertifikate importieren:
A. Wenn Sie eine Zertifikatkette verwenden, importieren Sie jedes Zertifikat in der Kette, die zum Stammzertifikat (RCA) führt.  Wenn nur eine einzige Stammzertifizierungsstelle verwendet wird, importieren Sie die Stammzertifizierungsstelle. 
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit
Sie werden aufgefordert, das Zertifikat im cacerts-Keystore zu akzeptieren. 

B. Wenn Sie über einen doppelten Alias (vorheriges, abgelaufenes Zertifikat) informiert werden, löschen Sie das vorhandene Zertifikat mit demselben Alias: 
# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit
Wiederholen Sie Schritt A, nachdem das alte Zertifikat entfernt wurde.
  1. Starten Sie die NetWorker-Serverservices neu. Durch den Neustart von Services wird die cacerts-Datei während des authc-Starts neu geladen. Wenn die NetWorker-Services nach dem Importieren der Zertifikate nicht neu gestartet werden, schlägt der Prozess zum Konfigurieren der externen Zertifizierungsstelle in NetWorker mit einem zertifikatbezogenen Fehler fehl.
# nsr_shutdown
# systemctl start networker


Windows-NetWorker-Server:


HINWEIS: Verwenden Sie OpenSSL, um eine Verbindung zum Domainserver herzustellen und das CA-Zertifikat (oder die Kette) abzurufen, das für AD über SSL erforderlich ist. Windows-Server enthalten standardmäßig kein OpenSSL. Es kann jedoch installiert werden. Alternativ können DomainadministratorInnen anstelle von OpenSSL das CA-Zertifikat (und ggf. die Kette) bereitstellen. Sie müssen im PEM-Format bereitgestellt werden. Die Verwendung von OpenSSL direkt vom Authentifizierungsserver ist die bevorzugte Methode. 
  1. Öffnen Sie eine Administrator-Eingabeaufforderung.
  2. Legen Sie die folgenden Variablen fest:
set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.
Beispiel: 
C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>
  1. Verwenden Sie OpenSSL, um das CA-Zertifikat (oder die Zertifikatskette) vom Domainserver abzurufen:
%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts
Das CA-Zertifikat ist in -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- eingeschlossen. Wenn ein Kettenzertifikat verwendet wird, werden mehrere Zertifikate angezeigt: Die ersten sind Zwischenzertifikate und das letzte ist die Stammzertifizierungsstelle. 
  • Einzelnes Zertifikat: Kopieren Sie das Zertifikat einschließlich -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und legen Sie es in einer Datei namens RCAcert.crt an einem Speicherort Ihrer Wahl ab. 
  • Zertifikatskette: Kopieren Sie jedes Zertifikat (einschließlich der Felder -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----) und fügen Sie sie in einzelne Dateien ein. Beispiel: ICA3cert.crt, ICA2cert.crt, ICA1cert.crt und schließlich RCAcert.crt. 
  1. Legen Sie Befehlszeilenvariablen für die Stammzertifizierungsstelle und alle Zwischenzertifikate fest (falls verwendet):
set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"
Beispiel: 
C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"
  1. Zertifikate importieren:
A. Wenn Sie eine Zertifikatkette verwenden, importieren Sie jedes Zertifikat in der Kette, die zum RCA führt. Wenn nur eine einzige Stammzertifizierungsstelle verwendet wird, importieren Sie die Stammzertifizierungsstelle. 
%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit
Sie werden aufgefordert, das Zertifikat im cacerts-Keystore zu akzeptieren. 
B. Wenn Sie über einen doppelten Alias (vorheriges, abgelaufenes Zertifikat) informiert werden, löschen Sie das vorhandene Zertifikat mit demselben Alias: 
%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
Wiederholen Sie Schritt A, nachdem das alte Zertifikat entfernt wurde.
  1. Starten Sie die NetWorker-Serverservices neu. Durch den Neustart von Services wird die cacerts-Datei während des authc-Starts neu geladen. Wenn die NetWorker-Services nach dem Importieren der Zertifikate nicht neu gestartet werden, schlägt der Prozess zum Konfigurieren der externen Zertifizierungsstelle in NetWorker mit einem zertifikatbezogenen Fehler fehl.
net stop nsrd
net start nsrd


Erstellen einer externen Autoritätsressource „AD over SSL“ über NWUI.

  1. Greifen Sie über einen Webbrowser auf den NWUI-Server zu: https://nwui-server-name:9090/nwui
  2. Melden Sie sich mit dem NetWorker-Administratorkonto an.
  3. Erweitern Sie im Menü die Option Authentifizierungsserver und klicken Sie auf Externe Zertifizierungsstellen.
  4. Klicken Sie unter „Externe Zertifizierungsstellen“ auf Hinzufügen+.
  5. Füllen Sie die Konfigurationsfelder aus:
Basiskonfiguration
 
Feld
Wert
Name
Ein beschreibender Name ohne Leerzeichen für die LDAP- oder AD-Konfiguration. Die maximale Anzahl von Zeichen beträgt 256. Geben Sie ASCII-Zeichen nur im Konfigurationsnamen an.
Servertyp
AD over SSL
Anbieter-Servername 
Gibt den Hostnamen oder die IP-Adresse des Active Directory Servers an
Schnittstelle
Port 636 wird für SSL verwendet. Dieses Feld sollte automatisch ausgefüllt werden, wenn „AD over SSL“ ausgewählt ist.
Mandant
Wählen Sie den Mandanten aus, sofern konfiguriert. Wenn kein Mandant konfiguriert oder erforderlich ist, können Sie die Option „default“ verwenden. 
Die Konfiguration eines Mandanten erfordert die folgende Anmeldesyntax „tenant_name\domain_name\user_name“. Wenn der Standardmandant verwendet wird (allgemein), lautet die Anmeldesyntax „domain_name\user_name“. 

Mandant: Organisationscontainer der obersten Ebene für den NetWorker-Authentifizierungsservice. Jede externe Authentifizierungsstelle in der lokalen Datenbank wird einem Mandanten zugewiesen. Ein Mandant kann eine oder mehrere Domains enthalten, aber die Domainnamen müssen innerhalb des Mandanten eindeutig sein. Der NetWorker-Authentifizierungsservice erstellt den integrierten Mandantennamen „Default“, der die Standarddomain enthält. Das Erstellen mehrerer Mandanten erleichtert Ihnen die Verwaltung komplexer Konfigurationen. Beispielsweise können Serviceanbieter mit eingeschränkten Datenzonen (RDZ) mehrere Mandanten erstellen, um isolierte Data-Protection-Services für MandantennutzerInnen bereitzustellen.
Domäne
Der vollständige Domainname einschließlich aller DC-Werte; z. B.: example.com
Nutzer-DN
Gibt den vollständigen Distinguished Name (DN) eines Nutzerkontos an, das vollständigen Lesezugriff auf das AD-Verzeichnis hat
Nutzer-DN-Kennwort
Gibt das Kennwort des Nutzerkontos an, das für den Zugriff auf und das Lesen von AD Direct verwendet wird
 
Erweiterte Konfiguration
 
Gruppenobjektklasse
Obligatorisch. Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
● Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames
● Verwenden Sie für AD group
Gruppensuchpfad (optional)
Ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der LDAP- oder AD-Hierarchie verwenden soll.
Gruppenname-Attribut
Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
Group Member Attribute
Die Gruppenmitgliedschaft des Nutzers innerhalb einer Gruppe:
● Für LDAP:
○ Wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut in der Regel member.
○ Wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut in der Regel uniquemember.
● Bei AD ist der Wert in der Regel member.
Benutzerobjektklasse
Die Objektklasse, die NutzerInnen in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: person.
Benutzersuchpfad (optional)
Der DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach NutzerInnen in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad an, der relativ zum Basis-DN ist, den Sie in der Option configserver-address angegeben haben. Geben Sie beispielsweise für AD cn=users an.
Benutzer-ID-Attribut
Die Nutzer-ID, die dem Nutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
Für LDAP ist dieses Attribut in der Regel uid.
Für AD ist dieses Attribut in der Regel sAMAccountName.

HINWEIS: Wenden Sie sich an die AD/LDAP-Administration, um zu bestätigen, welche AD-/LDAP-spezifischen Felder für Ihre Umgebung erforderlich sind.
 

 

  1. Wenn Sie fertig sind, klicken Sie auf Speichern.
  2. Eine Zusammenfassung der konfigurierten externen Autoritätsressource sollte nun angezeigt werden:

Konfigurationsbeispiel

  1. Bearbeiten Sie im Menü Server > Benutzergruppen die Benutzergruppen, die die Rechte enthalten, die Sie an AD-/LDAP-Gruppen oder ‑NutzerInnen übertragen möchten. Um beispielsweise vollständige Administratorrechte zu gewähren, muss der AD-Gruppen-/Nutzer-DN im Feld „Externe Rollen“ der Rollen Application Administrators und Security Administrators angegeben werden.

Beispiel: CN=NetWorker_Admins,DC=amer,DC=lan

„Application Administrators“ bearbeiten

Dies kann auch über die Befehlszeile erfolgen:

nsraddadmin -e "Distinguished_Name"
Beispiel: 
nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

 

  1. Sobald die AD-Gruppen- und/oder Nutzer-DNs angegeben wurden, klicken Sie auf Speichern
  2. Melden Sie sich von der NWUI-Schnittstelle ab und melden Sie sich mit dem AD-Konto wieder an:

Bei NWUI-Oberfläche anmelden

  1. Das Nutzersymbol in der oberen rechten Ecke zeigt an, welches Nutzerkonto angemeldet ist.

Weitere Informationen

Bestätigen des für die NetWorker-Authentifizierung verwendeten AUTHC-Servers
Die Datei gstd.conf des NMC-Servers (NetWorker Management Console) zeigt an, welcher Host zum Verarbeiten von Anmeldeanforderungen verwendet wird:

Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

Überprüfen Sie die Datei auf den Wert authsvc_hostname. Der authsvc_hostname ist der authc-Server (Authentifizierungsserver).

So überprüfen Sie die AD-Gruppenmitgliedschaft und rufen die DN-Werte (Distinguished Name) ab, die für NetWorker-Berechtigungen erforderlich sind:
Sie können den Befehl authcmgmt auf dem NetWorker-Server verwenden, um zu bestätigen, dass die AD/LDAP-Gruppen/‑NutzerInnen sichtbar sind:

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username
Beispiel:
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

HINWEIS: Auf einigen Systemen können die Befehle authc mit dem Fehler „falsches Kennwort“ fehlschlagen, selbst wenn das richtige Kennwort angegeben wurde. Dies liegt daran, dass das Kennwort als sichtbarer Text mit der Option -p verwendet wird. Wenn Sie auf dieses Problem stoßen, entfernen Sie -p password aus den Befehlen. Sie werden aufgefordert, das Kennwort einzugeben, das nach dem Ausführen des Befehls verborgen ist.


Weitere relevante Artikel:

Betroffene Produkte

NetWorker

Produkte

NetWorker Family, NetWorker Series
Artikeleigenschaften
Artikelnummer: 000203005
Artikeltyp: How To
Zuletzt geändert: 14 Feb. 2025
Version:  9
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.