Tento článek databáze znalostí se primárně zaměřuje na to, co je potřeba ke konfiguraci protokolu LDAPS, a obsahuje širší vysvětlení toho, co je potřeba k integraci serveru AD/LDAP se softwarem NetWorker:
NetWorker: Jak nastavit ověřování AD/LDAP
POZNÁMKA: Externí autoritu lze konfigurovat z konzole netWorker Management Console a webového uživatelského rozhraní NetWorker (NWUI); Konfiguraci služby Active Directory přes protokol LDAPS se však obecně doporučuje používat skript authc_config nebo NWUI (19.7 a novější). Možnost konfigurace konzole NMC nabízí pouze možnost "LDAP over SSL"; Pokud je použita tato možnost, nastaví se "Active Directory: false". Tato možnost očekává, že ověřovací server bude LDAP namísto Microsoft Active Directory. To bude mít za následek neúspěšné přihlášení. Proces popsaný v tomto článku databáze znalostí popisuje, jak konfigurovat protokol LDAPS pomocí skriptu authc_configure. Verze NWUI (19.7 a novější) nabízí možnost "AD over SSL".
NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)
Doporučujeme nejprve zprovozovat konfiguraci AD/LDAP přes protokol LDAP a poté ji převést na protokol LDAPS, aby se vyloučili případné problémy s konfigurací.
Chcete-li použít protokol LDAPS, musíte importovat certifikát CA (nebo řetěz certifikátů) ze serveru LDAPS do úložiště certifikátů JAVA. To lze provést následujícím postupem:
1) Spusťte příkazový řádek s oprávněními správce/uživatele root.
2, a) Zobrazí seznam aktuálních důvěryhodných certifikátů v úložišti trust.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Binární umístění JAVA je obvykle součástí proměnné prostředí OS PATH, takže nástroj "keytool" lze spustit odkudkoliv. Pokud se operačnímu systému nepodaří najít binární soubor nástroje keytool. Spusťte příkazy keytool z adresáře JAVA \bin na serveru NetWorker.
- Nahraďte JAVA_PATH cestou k instalaci JAZYKA JAVA. Název cesty se liší v závislosti na nainstalované verzi jazyka JAVA.
- U systémů s nainstalovaným prostředím NetWorker Runtime Environment (NRE) se obvykle jedná o:
- Linux: /opt/nre/java/nejnovější/
- Windows: C:\Program Files\NRE\java\jre-###
- Nahraďte heslo heslem JAVA storepass. Výchozí hodnota je changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Zkontrolujte seznam, jestli neobsahuje alias, který odpovídá vašemu serveru LDAPS (nemusí existovat). Pomocí výše uvedeného příkazu můžete pomocí příkazu "grep/findstr" operačního systému zúžit hledání. Pokud je ze serveru LDAPS zastaralý/stávající certifikát CA, odstraňte jej pomocí následujícího příkazu:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Nahraďte ALIAS_NAME názvem aliasu serveru LDAPS shromážděného z výstupu v části 2, a.
3, a) Pomocí nástroje OpenSSL získejte kopii certifikátu CA ze serveru LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Ve výchozím nastavení hostitelé se systémem Windows nezahrnují program openssl. Pokud není možné nainstalovat software OpenSSL na server NetWorker, lze certifikáty exportovat přímo ze serveru LDAPS. důrazně se však doporučuje použít nástroj OpenSSL.
- Pokud není cesta k adresáři binárních souborů OpenSSL součástí proměnné prostředí OS PATH, bude nutné spustit příkazy OpenSSL z jejich binárního umístění.
- Pokud nemáte software OpenSSL a nelze jej nainstalovat, poskytne správce služby AD certifikáty exportováním jako formát base-64 kódovaný x.509.
- Nahraďte LDAPS_SERVER název hostitele nebo IP adresu serveru LDAPS.
3,b) Výše uvedený příkaz vytvoří výstup certifikátu CA nebo řetězce certifikátů ve formátu PEM, např.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
POZNÁMKA: Pokud existuje řetězec certifikátů, posledním certifikátem je certifikát CA. Je třeba importovat každý certifikát v řetězci v pořadí (shora dolů) zakončeném certifikátem CA.
3, c) Zkopírujte certifikát počínaje
certifikátem ---BEGIN--- a
zakončenou ---END CERTIFICATE--- a vložte jej do nového souboru. Pokud existuje řetězec certifikátů, musíte to provést s jednotlivými certifikáty.
4) Importujte certifikáty vytvořené v 3 c do úložiště klíčů java Trust:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Nahraďte ALIAS_NAME aliasem importovaného certifikátu. Obvykle se jedná o název serveru LDAPS. Pokud potřebujete importovat více certifikátů pro řetěz certifikátů, musí mít každý certifikát jiný název ALIAS a být importován samostatně. Řetěz certifikátů je také nutné importovat v pořadí uvedeném v kroku 3 a (shora dolů).
- Nahraďte JAVA_PATH cestou k instalaci JAZYKA JAVA. Název cesty se liší v závislosti na nainstalované verzi jazyka JAVA.
- Nahraďte heslo heslem JAVA storepass. Výchozí hodnota je changeit.
- Nahraďte PATH_TO\CERT_FILE umístěním souboru cert, který jste vytvořili v kroku 3, c.
- Zobrazí se výzva k importu certifikátu, zadejte yes a stiskněte klávesu Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Ověřte, že je certifikát zobrazen v umístění klíčů:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
POZNÁMKA: Přepněte grep operačního systému (|) nebo příkaz findstr výše, abyste výsledky zúžili.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Restartujte serverové služby NetWorker.
Linux:
nsr_shutdown
spuštění
služby networkerWindows: Net Stop nsrd
net start nsrd
POZNÁMKA: Pokud nedojde k restartování serverových služeb NetWorker, karta authc soubor cacerts nepřečte a nerozpozná importované certifikáty potřebné k vytvoření komunikace SSL se serverem LDAP.
7, a) Aktualizujte skript authc-create-ad-config (Active Directory) NEBO authc-create-ldap-config (LDAP), abyste mohli použít protokol LDAPS:
Location:
Linux |
/opt/nsr/authc-server/scripts/ |
Windows |
[INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
POZNÁMKA: Pokud přidáváte novou konfiguraci "-e add-config", měli byste použít stávající konfiguraci "-e update-config". V řádku adresy konfigurace serveru zadejte protokol "ldaps" (musí být malá písmena) a port "636".
7, b) Spusťte skript z příkazového řádku. Měla by oznámit, že konfigurace byla úspěšně aktualizována/přidána.
8) Potvrďte, že konfigurace byla aktualizována:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- S každým příkazem budete vyzváni k zadání hesla správce netWorker. Příkaz lze spustit s příznakem "-p password", ale v některých operačních systémech může dojít k selhání z důvodu použití hesla pro mazání textu.
- Nahraďte CONFIG_ID ID konfigurace shromážděným prvním příkazem:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
Server nyní ověřuje protokol AD/LDAP přes protokol LDAPS.
Pokud při provedení tohoto postupu dojde k jakýmkoli chybám nebo problémům, obraťte se na správce ca a ověřte, zda jsou používány/natahovány správné certifikáty.
Ať už používáte službu Windows Active Directory nebo Linux LDAP (např.: OpenLDAP) protokol LDAP se používá k ověřování. LDAP (Lightweight Directory Application Protocol) a Secure LDAPS (Secure LDAPS) jsou protokoly připojení používané mezi aplikací a síťovým adresářem nebo řadičem domény v infrastruktuře.
Protokol LDAP přenáší komunikaci ve formátu Clear Text a komunikace LDAPS je šifrovaná a zabezpečená.