Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: Jak używać skryptów authc_config do konfigurowania uwierzytelniania LDAPS

Summary: Ogólne omówienie konfigurowania uwierzytelniania AD/LDAP przez LDAPS przy użyciu skryptów authc_config NetWorker. Można go również użyć podczas uaktualniania/konwertowania istniejącej konfiguracji LDAP na LDAPS. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ten artykuł kb skupia się głównie na tym, co jest potrzebne do skonfigurowania LDAPS, aby uzyskać więcej informacji na temat tego, co jest potrzebne do integracji AD/LDAP z NetWorker, patrz: NetWorker: Konfigurowanie uwierzytelniania AD/LDAP

UWAGA: Urząd zewnętrzny można skonfigurować z poziomu konsoli zarządzania NetWorker i interfejsu sieciowego użytkownika NetWorker (NWUI); jednak konfiguracja usługi Active Directory za pośrednictwem LDAPS jest zazwyczaj zalecana do korzystania ze skryptu authc_config lub NWUI (19.7 i nowsze). Opcja konfiguracji NMC zapewnia tylko "LDAP przez SSL"; Jeśli ta opcja jest używana, ustawi wartość "Active Directory: false". Ta opcja oczekuje, że serwer uwierzytelniania to LDAP zamiast Microsoft Active Directory. Spowoduje to niepowodzenie logowania. Proces przedstawiony w tej wiedzy zawiera szczegółowe informacje na temat konfigurowania LDAPS przy użyciu skryptu authc_configure. Interfejs NWUI (19.7 i nowsze) oferuje opcję "AD over SSL". NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)

Zaleca się, aby konfiguracja AD/LDAP działała najpierw przez LDAP, a następnie przekonwertować ją na LDAPS, aby wykluczyć wszelkie potencjalne problemy z konfiguracją.

Aby użyć protokołu LDAPS, należy zaimportować certyfikat urzędu certyfikacji (lub łańcuch certyfikatów) z serwera LDAPS do magazynu kluczy zaufania JAVA. Można to zrobić przy użyciu następującej procedury:
1) Otwórz wiersz polecenia administratora/głównego.

2,a) Wyświetla listę bieżących zaufanych certyfikatów w magazynie zaufania. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Zazwyczaj lokalizacja binarna JAVA jest częścią zmiennej środowiskowej ŚCIEŻKI systemu operacyjnego, dlatego "keytool" można uruchomić z dowolnego miejsca. Jeśli system operacyjny nie znajdzie pliku binarnego narzędzia keytool. Uruchom polecenia narzędzia keytool z katalogu JAVA \bin na serwerze NetWorker.
  • Zastąp JAVA_PATH ścieżką do instalacji języka JAVA, nazwa ścieżki różni się w zależności od zainstalowanej wersji języka JAVA.
    • W systemach z zainstalowanym środowiskiem Runtime Environment (NRE) NetWorker jest to zazwyczaj:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Program Files\NRE\java\jre-###
  • Zamień hasło na java storepass. Wartością domyślną jest changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Przejrzyj listę aliasów odpowiadających serwerowi LDAPS (może to nie istnieć). Za pomocą poleceń "grep/findstr" systemu operacyjnego można użyć powyższego polecenia, aby zawęzić wyszukiwanie. Jeśli istnieje przestarzały/istniejący certyfikat urzędu certyfikacji z serwera LDAPS, usuń go za pomocą następującego polecenia: 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Zastąp ALIAS_NAME nazwą aliasu serwera LDAPS zebranego z danych wyjściowych w 2 a.

3,a) Użyj narzędzia OpenSSL, aby uzyskać kopię certyfikatu urzędu certyfikacji z serwera LDAPS. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Domyślnie hosty Windows nie zawierają programu Opensl. Jeśli nie można zainstalować openssl na serwerze NetWorker, certyfikaty można wyeksportować bezpośrednio z serwera LDAPS; zaleca się jednak korzystanie z narzędzia OpenSSL.
  • Jeśli ścieżka do katalogu plików binarnych OpenSSL nie jest częścią zmiennej środowiskowej ŚCIEŻKI systemu operacyjnego, należy uruchomić polecenia OpenSSL z ich lokalizacji binarnej.
  • Jeśli nie masz openssl i nie możesz go zainstalować, poproś administratora usługi AD o dostarczenie certyfikatów poprzez wyeksportowanie ich jako format x.509 w wersji Base-64.
  • Zamień LDAPS_SERVER na nazwę hosta lub adres IP serwera LDAPS.

3,b) Powyższe polecenie spowoduje wyświetlenie certyfikatu urzędu certyfikacji lub łańcucha certyfikatów w formacie PEM, np.: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
UWAGA: Jeśli istnieje łańcuch certyfikatów, ostatnim certyfikatem jest certyfikat urzędu certyfikacji. Należy zaimportować każdy certyfikat w łańcuchu w kolejności (od góry do do góry), kończąc na certyfikat urzędu certyfikacji. 

3,c) Skopiuj certyfikat, zaczynając od certyfikatu ---BEGIN--- kończąc na certyfikat ---END--- i wklej go do nowego pliku. Jeśli istnieje łańcuch certyfikatów, należy to zrobić z każdym certyfikatem.

4) Zaimportuj certyfikaty utworzone w 3,c do magazynu kluczy zaufania JAVA: 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Zamień ALIAS_NAME aliasem importowanego certyfikatu. Zazwyczaj jest to nazwa serwera LDAPS. Jeśli chcesz zaimportować wiele certyfikatów dla łańcucha certyfikatów, każdy certyfikat musi mieć inną nazwę ALIAS i zostać zaimportowany oddzielnie. Łańcuch certyfikatów musi być również zaimportowany w kolejności od sposobu, w jaki został przedstawiony w kroku 3, a (od góry do do góry).
  • Zastąp JAVA_PATH ścieżką do instalacji języka JAVA, nazwa ścieżki różni się w zależności od zainstalowanej wersji języka JAVA.
  • Zamień hasło na java storepass. Wartością domyślną jest changeit.
  • Zamień PATH_TO\CERT_FILE na lokalizację pliku certyfikatu utworzonego w kroku 3 c.
  • Zostanie wyświetlony monit o zaimportowanie certyfikatu, wpisanie "tak" i naciśnięcie klawisza Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Potwierdź, że certyfikat jest wyświetlany w keystore: 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
UWAGA: Przeprowadź (|) polecenie "grep " lub "findstr" systemu operacyjnego do powyższych poleceń, aby zawęzić wyniki.  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Uruchom ponownie usługi serwera NetWorker. 
Linux: 
nsr_shutdown
      Uruchomienie
service networkerWindows: net stop nsrd
net start nsrd
 
UWAGA: Jeśli usługi serwera NetWorker nie zostaną uruchomione ponownie, authc nie odczyta pliku cacerts i nie wykryje zaimportowanych certyfikatów wymaganych do ustanowienia komunikacji SSL z serwerem LDAP.
 
7,a) Zaktualizuj skrypt authc-create-ad-config (Active Directory) LUB authc-create-ldap-config (LDAP), aby użyć LDAPS:
Lokalizacja:
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
UWAGA: W przypadku dodawania nowej konfiguracji "-e add-config" należy użyć w przypadku aktualizacji istniejącej konfiguracji "-e update-config". W wierszu adresu config-server określ protokół "ldaps" (musi być małe litery) i port "636".
 
7,b) Uruchom skrypt z wiersza poleceń. Powinien zgłaszać, że konfiguracja została zaktualizowana/dodana pomyślnie.

8) Potwierdź, że konfiguracja została zaktualizowana: 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Zostanie wyświetlony monit o wprowadzenie hasła administratora NetWorker przy każdym poleceniu. Polecenie można uruchomić z flagą "-p password", ale może to zakończyć się niepowodzeniem w niektórych systemach operacyjnych ze względu na używane hasło czyszczenia tekstu.
  • Zastąp CONFIG_ID identyfikatorem konfiguracji zebranym przy użyciu pierwszego polecenia:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Serwer uwierzytelnia się teraz przy użyciu AD/LDAP przez LDAPS.

Jeśli podczas przeprowadzania tej procedury wystąpią jakiekolwiek błędy lub problemy, należy skontaktować się z administratorem urzędu certyfikacji, aby upewnić się, że używane/pobierane są prawidłowe certyfikaty.

Additional Information

Niezależnie od tego, czy korzystasz z usługi Windows Active Directory, czy Linux LDAP (np. OpenLDAP) protokół LDAP jest używany do uwierzytelniania. LDAP (Lightweight Directory Application Protocol) i Secure LDAP (LDAPS) to protokoły połączeń używane między aplikacją a katalogiem sieciowym lub kontrolerem domeny w ramach infrastruktury.

Protokół LDAP przesyła komunikację w czystym tekście, a komunikacja LDAPS jest szyfrowana i bezpieczna.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.