NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)

Щоб налаштувати аутентифікацію SSL, імпортуйте кореневий ЦС (або ланцюг ЦС) у файл cacerts, який використовується authc-сервером NetWorker. В одиночних серверних середовищах NetWorker сервер є сервером аутентифікації; У великих датазонах один сервер AUTHC може бути основним сервером аутентифікації для кількох серверів. Перегляньте поле Додаткова інформація, щоб отримати вказівки щодо визначення сервера authc.

Налаштування AUTHC для використання SSL

Сервери Linux NetWorker:

1. Відкрийте сеанс SSH на сервері authc NetWorker.
2. Перемкніться на root :

$ sudo su -

3. Використовуйте OpenSSL для отримання сертифіката ЦС (або ланцюжка сертифікатів) з сервера домену:

# openssl s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• Єдиний сертифікат: Скопіюйте сертифікат із сертифікатами -----BEGIN CERTIFICATE----- і -----END CERTIFICATE----- і помістіть його у файл під назвою RCAcert.crt у вибраному вами місці.
• Ланцюжок сертифікатів: Скопіюйте кожен сертифікат (разом із полями -----BEGIN CERTIFICATE----- і -----END CERTIFICATE-----) і помістіть їх в окремі файли. Наприклад, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt і, нарешті, RCAcert.crt.

4. Щоб полегшити процес, встановіть такі змінні командного рядка:

# java_bin=<path to java bin dir>
*NOTE* For NetWorker Runtime Environment (NRE) this is /opt/nre/java/latest/bin. If you are using Oracle licensed Java Runtime Environment, specify the path to your JRE bin directory.
# RCAcert=<path to RCAcer.crt>
# ICA1cert=<path to ICA2cert.crt>
*NOTE* Only required if you are using a certificate chain, repeat this for each intermediate cert ICA2cert.crt, ICA3.crt and so forth.

[root@nsr certs]# java_bin=/opt/nre/java/latest/bin
[root@nsr certs]# RCAcert=/root/certs/RCAcert.crt
[root@nsr certs]#

5. Імпортуйте сертифікати:

# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA3cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA2cert -storepass changeit
# $java_bin/keytool -import -alias ICA3 -keystore $java_bin/../lib/security/cacerts -file $ICA1cert -storepass changeit
# $java_bin/keytool -import -alias RCA -keystore $java_bin/../lib/security/cacerts -file $RCAcert -storepass changeit

# $java_bin/keytool -delete -alias ALIAS_NAME -keystore $java_bin/../lib/security/cacerts -storepass changeit

6. Перезапустіть служби сервера NetWorker. Перезапуск служб перезавантажує файл cacerts під час запуску authc. Якщо служби NetWorker не перезапускаються після імпорту сертифікатів, процес налаштування зовнішнього авторитету в NetWorker завершується помилкою, пов'язаною з сертифікатом.

# nsr_shutdown
# systemctl start networker

Сервери Windows NetWorker:

1. Відкрийте командний рядок адміністратора.
2. Встановіть такі змінні:

set openssl="<path to openssl.exe file>"
*NOTE* This path can differ depending on how OpenSSL was installed.
set java_bin="<path to java bin directory>"
*NOTE* For NetWorker Runtime Environment (NRE) the default path is "C:\Program Files\NRE\java\jre#.#.#_###\bin". This path includes the NRE version specific Java version and build. When using Oracle licensed Java Runtime Environment, specify the path to the JRE bin directory.

C:\Users\administrator.AMER>set openssl="C:\Program Files\OpenSSL-Win64\bin\openssl.exe"
C:\Users\administrator.AMER>set java_bin="C:\Program Files\NRE\java\jre1.8.0_431\bin"
C:\Users\administrator.AMER>

3. Використовуйте OpenSSL для отримання сертифіката ЦС (або ланцюжка сертифікатів) з сервера домену:

%openssl% s_client -connect DOMAIN_SERVER_ADDRESS:636 -showcerts

• Єдиний сертифікат: Скопіюйте сертифікат із сертифікатами -----BEGIN CERTIFICATE----- і -----END CERTIFICATE----- і помістіть його у файл під назвою RCAcert.crt у вибраному вами місці. 
• Ланцюжок сертифікатів: Скопіюйте кожен сертифікат (разом із полями -----BEGIN CERTIFICATE----- і -----END CERTIFICATE-----) і помістіть їх в окремі файли. Наприклад, ICA3cert.crt, ICA2cert.crt, ICA1cert.crt і, нарешті, RCAcert.crt. 

4. Встановіть змінні командного рядка для кореневого центру сертифікації та будь-якого проміжного сертифіката (якщо він використовується):

set RCAcert="<path to RCAcert.crt>"
set ICA1cert="<path to ICA1cert.crt>"

C:\Users\administrator.AMER>set RCAcert="C:\tmp\certs\RCAcert.crt"

5. Імпортуйте сертифікати:

%java_bin%\keytool -import -alias ICA3 -keystore %java_bin%\..\lib\security\cacerts -file %ICA3cert% -storepass changeit
%java_bin%\keytool -import -alias ICA2 -keystore %java_bin%\..\lib\security\cacerts -file %ICA2cert% -storepass changeit
%java_bin%\keytool -import -alias ICA1 -keystore %java_bin%\..\lib\security\cacerts -file %ICA1cert% -storepass changeit
%java_bin%\keytool -import -alias RCA -keystore %java_bin%\..\lib\security\cacerts -file %RCAcert% -storepass changeit

%java_bin%\keytool -delete -alias ALIAS_NAME -keystore %java_bin%\..\lib\security\cacerts -storepass changeit

6. Перезапустіть служби сервера NetWorker. Перезапуск служб перезавантажує файл cacerts під час запуску authc. Якщо служби NetWorker не перезапускаються після імпорту сертифікатів, процес налаштування зовнішнього авторитету в NetWorker завершується помилкою, пов'язаною з сертифікатом.

net stop nsrd
net start nsrd

Створення ресурсу зовнішніх повноважень "AD over SSL" від NWUI.

1. З веб-браузера перейдіть на сервер NWUI: https:// nwui-server-name:9090/nwui
2. Увійдіть в систему за допомогою облікового запису адміністратора NetWorker.
3. У меню розгорніть «Сервер автентифікації» та натисніть «Зовнішні джерела».
4. У розділі «Зовнішні центри» натисніть «Додати+».
5. Заповніть поля конфігурації:

6. Коли закінчите, натисніть зберегти.
7. Тепер має з'явитися підсумок налаштованого ресурсу зовнішніх повноважень:

8. У меню «Групи користувачівсервера>» відредагуйте групи користувачів, які містять права, які ви хочете делегувати групам AD/LDAP або користувачам. Щоб надати повні права адміністратора, укажіть DN групи AD/користувача в полі «Зовнішні ролі» ролей «Адміністратори програм» і «Адміністратори безпеки ».

наприклад, CN=NetWorker_Admins,DC=amer,DC=lan

Це також можна зробити з командного рядка:

nsraddadmin -e "Distinguished_Name"

nsr:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Security Administrators' user group.
134751:nsraddadmin: Added role 'CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan' to the 'Application Administrators' user group.

9. Указавши DN-адреси групи AD або користувача, натисніть «Зберегти». 
10. Вийдіть з інтерфейсу NWUI та увійдіть знову, використовуючи обліковий запис AD:

11. Піктограма користувача у верхньому правому куті вказує, який обліковий запис користувача ввійшов у систему.

Підтвердження сервера AUTHC, який використовується для аутентифікації
NetWorkerФайл gstd.conf сервера NetWorker Management Console (NMC) показує, який хост використовується для обробки запитів на вхід:

Linux: /opt/lgtonmc/etc/gstd.conf
Вікна: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

Перевірте файл на наявність значення authsvc_hostname. authsvc_hostname – це сервер

authc (аутентифікації).Як перевірити членство в групі AD і отримати значення відмінного імені (DN), необхідні для дозволів NetWorker:
Ви можете використовувати функцію authcmgmt на вашому сервері NetWorker, щоб підтвердити, що групи AD/LDAP/користувачі видимі:

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad_username

Приклад:

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

• NetWorker: Як налаштувати LDAP/AD за допомогою сценаріїв authc_config
• NetWorker: Як налаштувати автентифікацію AD/LDAP
• NetWorker: Як скинути пароль адміністратора
• NetWorker: Не вдається інтегрувати LDAPS: «Під час спроби підключитися до сервера LDAPS виникла помилка SSL-рукостискання: Не вдається знайти дійсний шлях сертифікації до запитуваної цілі"
• NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації, для "authc" і "NWUI" (Linux)
• NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації для "authc" і "NWUI" (Windows)