Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Authc_config scripts gebruiken om LDAPS-authenticatie te configureren

Summary: Algemeen overzicht van het configureren van AD/LDAP-authenticatie via LDAPS met behulp van de authc_config scripts van NetWorker. Dit kan ook worden gebruikt bij het upgraden/converteren van een bestaande LDAP-configuratie naar LDAPS. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Dit KB-artikel is vooral gericht op wat er nodig is om LDAPS te configureren, voor een bredere uitleg van wat er nodig is om AD/LDAP te integreren met NetWorker, zie: NetWorker: AD/LDAP-authenticatie instellen

OPMERKING: Externe autoriteit kan worden geconfigureerd vanuit de NetWorker Management Console en de NetWorker Web User Interface (NWUI); Het configureren van Active Directory via LDAPS wordt echter over het algemeen aanbevolen om het authc_config script of NWUI (19.7 en hoger) te gebruiken. De NMC-configuratieoptie biedt alleen 'LDAP via SSL'. Als deze optie wordt gebruikt, wordt 'Active Directory: false' ingesteld. Deze optie verwacht dat de authenticatieserver LDAP is in plaats van Microsoft Active Directory. Dit leidt tot mislukte aanmeldingen. In het proces dat in dit KB-artikel wordt beschreven, wordt beschreven hoe u LDAPS configureert met behulp van het authc_configure script. NWUI (19.7 en hoger) biedt een optie 'AD over SSL'. NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)

Het wordt aanbevolen om eerst de AD/LDAP-configuratie te laten werken via LDAP en deze vervolgens te converteren naar LDAPS om mogelijke configuratieproblemen uit te sluiten.

Als u LDAPS wilt gebruiken, moet u het CA-certificaat (of certificaatketen) importeren van de LDAPS-server in de JAVA Trust Keystore. Dit kan worden gedaan met de volgende procedure:
1) Open een opdrachtprompt voor beheer/root.

2,a) Een lijst met huidige vertrouwde certificaten weergeven in het vertrouwensarchief.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Meestal maakt de binaire JAVA-locatie deel uit van de omgevingsvariabele OS PATH, zodat "keytool" vanaf elke locatie kan worden uitgevoerd. Als het besturingssysteem de binaire keytool niet kan vinden. Voer de keytool-opdrachten uit vanuit de MAP JAVA \bin op uw NetWorker server.
  • Vervang JAVA_PATH door het pad naar uw JAVA-installatie. De padnaam varieert afhankelijk van de geïnstalleerde JAVA-versie.
    • Op systemen waarop NetWorker Runtime Environment (NRE) is geïnstalleerd, is dit meestal:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Program Files\NRE\java\jre-##
  • Vervang het wachtwoord door de JAVA-storepass. De standaardwaarde is changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Controleer de lijst voor een alias die overeenkomt met uw LDAPS-server (dit bestaat mogelijk niet). U kunt grep/findstr-opdrachten van het besturingssysteem gebruiken met de bovenstaande opdracht om de zoekopdracht te beperken. Als er een verouderd/bestaand CA-certificaat van uw LDAPS-server is, verwijdert u dit met de volgende opdracht:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Vervang ALIAS_NAME door de aliasnaam van de LDAPS-server die in 2,a.

3,a) Gebruik de OpenSSL tool om een kopie van het CA-certificaat van de LDAPS-server te verkrijgen.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Windows-hosts bevatten standaard het openssl-programma niet. Als het niet mogelijk is om OpenSSL op de NetWorker-server te installeren, kunnen de certificaten rechtstreeks vanaf de LDAPS-server worden geëxporteerd. Het wordt echter sterk aanbevolen om het hulpprogramma OpenSSL te gebruiken.
  • Tenzij het pad naar de binaire map van OpenSSL deel uitmaakt van de omgevingsvariabele OS PATH, moet u de OpenSSL-opdrachten vanaf hun binaire locatie uitvoeren.
  • Als u geen OpenSSL hebt en deze niet kan worden geïnstalleerd, geeft uw AD-beheerder de certificaten op door deze te exporteren als Base-64-gecodeerd x.509-indeling.
  • Vervang LDAPS_SERVER door de hostnaam of het IP-adres van uw LDAPS server.

3,b) Met de bovenstaande opdracht wordt het CA-certificaat of een certificaatketen in PEM-indeling uitgevoerd, bijvoorbeeld:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

OPMERKING: Als er een keten van certificaten is, is het laatste certificaat het CA-certificaat. U moet elk certificaat in de keten importeren in de volgorde (bovenin) die eindigt op het CA-certificaat. 

3,c) Kopieer het certificaat vanaf ---BEGIN CERTIFICATE--- en eindig met ---END CERTIFICATE--- en plak het in een nieuw bestand. Als er een keten van certificaten is, moet u dit doen met elk certificaat.

4) Importeer de certificaten die zijn gemaakt in 3,c in de JAVA Trust Keystore:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Vervang ALIAS_NAME door een alias voor het geïmporteerde certificaat. Dit is meestal de LDAPS-servernaam. Als u meerdere certificaten voor een certificaatketen wilt importeren, moet elk certificaat een andere ALIAS-naam hebben en afzonderlijk worden geïmporteerd. De certificaatketen moet ook worden geïmporteerd in volgorde van hoe deze werd gepresenteerd in stap 3,a (bovenaf).
  • Vervang JAVA_PATH door het pad naar uw JAVA-installatie. De padnaam varieert afhankelijk van de geïnstalleerde JAVA-versie.
  • Vervang het wachtwoord door de JAVA-storepass. De standaardwaarde is changeit.
  • Vervang PATH_TO\CERT_FILE door de locatie van het cert-bestand dat u hebt gemaakt in stap 3, c.
  • U wordt gevraagd om het certificaat te importeren, typ ja en druk op Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Controleer of het certificaat wordt weergegeven in de keystore:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
OPMERKING: Pijp (|) de grep - of findstr-opdracht van het besturingssysteem naar het bovenstaande om de resultaten te beperken. 
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Start de NetWorker-serverservices opnieuw op. 
Linux: 
nsr_shutdown
      service networker starten
Windows: net stop nsrd
net start nsrd

 
OPMERKING: Als de NetWorker-serverservices niet opnieuw worden opgestart, leest authc het cacerts-bestand niet en worden de geïmporteerde certificaten die nodig zijn voor het tot stand brengen van SSL-communicatie met de LDAP-server niet gedetecteerd.
 
7,a) Werk uw authc-create-ad-config (Active Directory) OF authc-create-ldap-config (LDAP)-script bij om LDAPS te gebruiken:
Locatie:
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
OPMERKING: Als u een nieuwe configuratie toevoegt, moet u "-e add-config" gebruiken. Als u een bestaande configuratie bijwerkt, moet u "-e update-config" gebruiken. Geef in de adresregel van config-server-address protocol "ldaps" (moet in kleine letters) en poort "636" op.
 
7,b) Voer het script uit vanaf de opdrachtregel. Het moet melden dat de configuratie is bijgewerkt/toegevoegd.

8) Controleer of de configuratie is bijgewerkt:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Bij elke opdracht wordt u gevraagd om het NetWorker Administrator-wachtwoord in te voeren. De opdracht kan worden uitgevoerd met de vlag '-p password', maar dit kan op sommige besturingssystemen mislukken vanwege het wissen van het tekstwachtwoord dat wordt gebruikt.
  • Vervang CONFIG_ID door de configuratie-ID die is verzameld met de eerste opdracht:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true

De server wordt nu geverifieerd met AD/LDAP via LDAPS.

Als er fouten of problemen worden aangetroffen bij het volgen van deze procedure, neem dan contact op met uw CA-beheerder om ervoor te zorgen dat de juiste certificaten worden gebruikt/opgehaald.

Additional Information

Of u nu Windows Active Directory of Linux LDAP gebruikt (bijvoorbeeld: OpenLDAP) wordt het LDAP-protocol gebruikt voor authenticatie. LDAP (Lightweight Directory Application Protocol) en Secure LDAP (LDAPS) zijn de verbindingsprotocollen die worden gebruikt tussen de applicatie en de Network Directory of domeincontroller binnen de infrastructuur.

LDAP verzendt communicatie in Clear Text en LDAPS-communicatie is versleuteld en beveiligd.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.