Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Cómo usar authc_config scripts para configurar la autenticación ldaps

Summary: Descripción general de la configuración de la autenticación de AD/LDAP mediante LDAPS mediante scripts de authc_config de NetWorker. Esto también se puede utilizar cuando se actualiza o convierte una configuración de LDAP existente en LDAPS. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Este artículo de la base de conocimientos se centra principalmente en lo que se necesita para configurar LDAPS. Para obtener una explicación más amplia de lo que se necesita para integrar AD/LDAP con NetWorker, consulte: NetWorker: Cómo configurar la autenticación de AD/LDAP

NOTA: La autoridad externa se puede configurar desde la consola de administración de NetWorker y la interfaz de usuario web de NetWorker (NWUI); Sin embargo, por lo general, se recomienda configurar Active Directory mediante LDAPS para usar el script de authc_config o NWUI (19.7 y versiones posteriores). La opción de configuración de NMC solo ofrece "LDAP a través de SSL"; Si se utiliza esta opción, se establecerá "Active Directory: false". Esta opción espera que el servidor de autenticación sea LDAP en lugar de Microsoft Active Directory. Esto dará como resultado inicios de sesión fallidos. El proceso descrito en este artículo de la base de conocimientos detalla cómo configurar LDAPS mediante el script authc_configure. NWUI (19.7 y versiones posteriores) ofrece una opción de "AD a través de SSL". NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)

Se recomienda hacer que la configuración de AD/LDAP funcione primero a través de LDAP y, a continuación, convertirla en LDAPS para descartar cualquier posible problema de configuración.

Para usar LDAPS, debe importar el certificado de CA (o la cadena de certificados) desde el servidor LDAPS al almacenamiento de claves de confianza de JAVA. Esto se puede hacer con el siguiente procedimiento:
1) Abra un símbolo del sistema administrativo/raíz.

2, a) Muestra una lista de certificados de confianza actuales en el almacén de confianza.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Por lo general, la ubicación binaria de JAVA forma parte de la variable ambiental OS PATH, por lo que "keytool" se puede ejecutar desde cualquier lugar. Si el sistema operativo no encuentra el archivo binario keytool. Ejecute los comandos keytool desde el directorio JAVA \bin en el servidor de NetWorker.
  • Reemplace JAVA_PATH por la ruta de acceso a la instalación de JAVA, el nombre de la ruta varía según la versión de JAVA instalada.
    • En los sistemas con NetWorker Runtime Environment (NRE) instalado, esto suele ser:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Archivos de programa\NRE\java\jre-###
  • Reemplace la contraseña con el paso de almacenamiento de JAVA. El valor predeterminado es changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Revise la lista para ver un alias que coincida con el servidor LDAPS (es posible que esto no exista). Puede utilizar los comandos OS grep/findstr con el comando anterior para limitar la búsqueda. Si hay un certificado de CA desactualizado/existente del servidor LDAPS, elimínelo con el siguiente comando:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Reemplace ALIAS_NAME por el nombre de alias del servidor LDAPS recopilado a partir de la salida en 2,a.

3, a) Utilice la herramienta OpenSSL para obtener una copia del certificado de CA desde el servidor LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • De manera predeterminada, los hosts de Windows no incluyen el programa openssl. Si no es posible instalar OpenSSL en el servidor de NetWorker, los certificados se pueden exportar directamente desde el servidor LDAPS; sin embargo, se recomienda encarecidamente utilizar la utilidad OpenSSL.
  • A menos que la ruta al directorio de archivos binarios de OpenSSL forme parte de la variable ambiental OS PATH, deberá ejecutar los comandos de OpenSSL desde su ubicación binaria.
  • Si no tiene OpenSSL y no se puede instalar, haga que el administrador de AD proporcione los certificados exportándolos como formato x.509 codificado en Base-64.
  • Reemplace LDAPS_SERVER por el nombre de host o la dirección IP del servidor LDAPS.

3,b) El comando anterior generará el certificado de CA o una cadena de certificados en formato PEM, por ejemplo:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

NOTA: Si hay una cadena de certificados, el último certificado es el certificado de CA. Deberá importar cada certificado de la cadena en orden (en sentido descendente) que termine con el certificado de CA. 

3,c) Copie el certificado a partir de ---BEGIN CERTIFICATE--- y termine con ---END CERTIFICATE--- y péguelo en un archivo nuevo. Si hay una cadena de certificados, deberá hacer esto con cada certificado.

4) Importe los certificados creados en 3,c en el almacén de claves de confianza de JAVA:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Reemplace ALIAS_NAME por un alias para el certificado importado. Por lo general, este es el nombre del servidor LDAPS. Si necesita importar varios certificados para una cadena de certificados, cada certificado debe tener un nombre de ALIAS diferente y se debe importar por separado. La cadena de certificados también se debe importar en orden a partir de cómo se presentó en el paso 3, a (en sentido descendente).
  • Reemplace JAVA_PATH por la ruta de acceso a la instalación de JAVA, el nombre de la ruta varía según la versión de JAVA instalada.
  • Reemplace la contraseña con el paso de almacenamiento de JAVA. El valor predeterminado es changeit.
  • Reemplace PATH_TO\CERT_FILE con la ubicación del archivo de certificado que creó en el paso 3,c.
  • Se le pedirá que importe el certificado, escriba yes y presione Intro.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Confirme que el certificado se muestre en el almacenamiento de claves:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
NOTA: Canalice (|) el comando grep o findstr del sistema operativo a lo anterior para acotar los resultados. 
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Reinicie los servicios de servidor de NetWorker. 
Linux: 
nsr_shutdown
      inicio
de networker de servicio
Windows: net stop nsrd
net start nsrd

 
NOTA: Si los servicios del servidor de NetWorker no se reinician, authc no leerá el archivo cacerts y no detectará los certificados importados necesarios para establecer la comunicación SSL con el servidor LDAP.
 
7, a) Actualice el script authc-create-ad-config (Active Directory) O authc-create-ldap-config (LDAP) para usar LDAPS:
Location:
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
NOTA: Si va a agregar una nueva configuración, se debe utilizar "-e add-config", si está actualizando una configuración existente, se debe utilizar "-e update-config". En la línea config-server-address address, especifique el protocolo "ldaps" (debe ser minúscula) y el puerto "636".
 
7,b) Ejecute el script desde la línea de comandos. Debe informar que la configuración se actualizó o agregó correctamente.

8) Confirme que la configuración se actualizó:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Se le pedirá que ingrese la contraseña de administrador de NetWorker con cada comando. El comando se puede ejecutar con la marca "-p password", pero esto puede fallar en algunos sistemas operativos debido al uso de una contraseña de texto no cifrado.
  • Reemplace CONFIG_ID por el ID de configuración recopilado con el primer comando:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true

El servidor ahora se autentica con AD/LDAP a través de LDAPS.

Si se producen errores o problemas al seguir este procedimiento, consulte con el administrador de CA para asegurarse de que se estén utilizando o extraiendo los certificados correctos.

Additional Information

Si utiliza Windows Active Directory o Linux LDAP (p. ej.: OpenLDAP) el protocolo LDAP se utiliza para la autenticación. LDAP (Protocolo ligero de aplicaciones de directorio) y LDAP seguro (LDAPS) son los protocolos de conexión que se utilizan entre la aplicación y el directorio de red o la controladora de dominio dentro de la infraestructura.

LDAP transmite comunicaciones en texto no cifrado y la comunicación de LDAPS está cifrada y segura.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.