Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: Como usar scripts authc_config para configurar a autenticação LDAPS

Summary: Visão geral da configuração da autenticação do AD/LDAP sobre LDAPS usando scripts authc_config networker. Isso também pode ser usado ao fazer upgrade/conversão de uma configuração LDAP existente em LDAPS. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Este artigo da KB se concentra principalmente no que é necessário para configurar o LDAPS, para obter uma explicação mais ampla do que é necessário para integrar o AD/LDAP ao NetWorker. Consulte: NetWorker: Como configurar a autenticação do AD/LDAP

Nota: A autoridade externa pode ser configurada a partir do NetWorker Management Console e da interface do usuário da Web do NetWorker (NWUI); No entanto, a configuração do Active Directory via LDAPS geralmente é recomendada para usar o script authc_config ou a NWUI (19.7 e posterior). A opção de configuração do NMC oferece apenas "LDAP over SSL"; Se essa opção for usada, ela definirá "Active Directory: false". Essa opção espera que o servidor de autenticação seja LDAP em vez do Microsoft Active Directory. Isso resultará em log-ins com falha. O processo descrito neste artigo da KB detalha como configurar o LDAPS usando o authc_configure script. A NWUI (19.7 e posterior) oferece uma opção "AD over SSL". NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)

É recomendável fazer com que a configuração do AD/LDAP funcione em LDAP primeiro e, em seguida, convertê-la em LDAPS para descartar possíveis problemas de configuração.

Para usar o LDAPS, você deve importar o certificado ca (ou cadeia de certificados) do servidor LDAPS para o keystore de confiança java. Isso pode ser feito com o seguinte procedimento:
1) Abra um prompt de comando administrativo/root.

2,a) Exibe uma lista de certificados confiáveis atuais no armazenamento confiável. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Normalmente, a localização binária JAVA faz parte da variável ambiental DO CAMINHO  do SO para que o "keytool" possa ser executado de qualquer lugar. Se o sistema operacional não conseguir localizar o binário do keytool. Execute os comandos keytool do diretório JAVA \bin em seu servidor do NetWorker.
  • Substitua JAVA_PATH pelo caminho para a instalação do JAVA, o nome do caminho varia de acordo com a versão java instalada.
    • Em sistemas com o NetWorker Runtime Environment (NRE) instalado, geralmente é:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Program Files\NRE\java\jre-###
  • Substitua a senha pelo java storepass. O valor padrão é changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Analise a lista para obter um alias que corresponda ao servidor LDAPS (isso pode não existir). Você pode usar os comandos grep/findstr do sistema operacional com o comando acima para restringir a pesquisa. Se houver um certificado ca desatualizado/existente de seu servidor LDAPS, exclua-o com o seguinte comando: 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Substitua ALIAS_NAME pelo nome de alias do servidor LDAPS coletado do resultado em 2,a.

3,a) Use a ferramenta OpenSSL para obter uma cópia do certificado CA do servidor LDAPS. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Por padrão, os hosts do Windows não incluem o programa openssl. Se não for possível instalar o OpenSSL no servidor do NetWorker, os certificados poderão ser exportados diretamente do servidor LDAPS; no entanto, é altamente recomendável usar o utilitário OpenSSL.
  • A menos que o caminho para o diretório de binários do OpenSSL faça parte da variável ambiental PATH do SO, você precisará executar os comandos do OpenSSL a partir do local binário.
  • Se você não tiver o OpenSSL e ele não puder ser instalado, peça que o administrador do AD forneça os certificados exportando-os como o formato Base-64 codificado x.509.
  • Substitua LDAPS_SERVER pelo hostname ou endereço IP do servidor LDAPS.

3,b) O comando acima gerará o certificado ca ou uma cadeia de certificados no formato PEM, por exemplo: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Nota: Se houver uma cadeia de certificados, o último certificado será o certificado ca. Você precisará importar cada certificado na cadeia em ordem (de cima para baixo) que termina com o certificado ca. 

3,c) Copie o certificado iniciando ---BEGIN CERTIFICATE--- e terminando com --- END CERTIFICATE--- e cole-o em um novo arquivo. Se houver uma cadeia de certificados, você precisará fazer isso com cada certificado.

4) Importe os certificados criados em 3,c para o keystore de confiança JAVA: 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Substitua ALIAS_NAME por um alias para o certificado importado. Normalmente, esse é o nome do servidor LDAPS. Se você precisar importar vários certificados para uma cadeia de certificados, cada certificado deve ter um nome de ALIAS diferente e ser importado separadamente. A cadeia de certificados também deve ser importada em ordem de como ela foi apresentada na etapa 3, a (de cima para baixo).
  • Substitua JAVA_PATH pelo caminho para a instalação do JAVA, o nome do caminho varia de acordo com a versão java instalada.
  • Substitua a senha pelo java storepass. O valor padrão é changeit.
  • Substitua PATH_TO\CERT_FILE pelo local do arquivo cert que você criou na etapa 3,c.
  • Você será solicitado a importar o certificado, digite yes e pressione Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Confirme se o certificado é mostrado no keystore: 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
Nota: Pipe (|) o comando grep ou findstr do sistema operacional para o acima para restringir os resultados.  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Reinicie os serviços de servidor do NetWorker. 
Linux: 
nsr_shutdown
      início do networker de serviço
Windows: net stop nsrd
net start nsrd
 
Nota: Se os serviços de servidor do NetWorker não forem reiniciados, o authc não lerá o arquivo cacerts e não detectará os certificados importados necessários para estabelecer a comunicação SSL com o servidor LDAP.
 
7,a) Atualize seu script authc-create-ad-config (Active Directory) OU authc-create-ldap-config (LDAP) para usar lDAPS:
Localização:
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
Nota: Se você estiver adicionando uma nova configuração "-e add-config", se você estiver atualizando uma configuração existente "-e update-config" deverá ser usada. Na linha de endereço config-server-address, especifique o protocolo "ldaps" (deve ser minúscula) e a porta "636".
 
7,b) Execute o script na linha de comando. Ele deve relatar que a configuração foi atualizada/adicionada com sucesso.

8) Confirme se a configuração foi atualizada: 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Você será solicitado a digitar a senha de administrador do NetWorker com cada comando. O comando pode ser executado com o indicador "-p password", mas isso pode falhar em alguns sistemas operacional devido ao uso da senha de texto não criptografado.
  • Substitua CONFIG_ID pelo ID de configuração coletado com o primeiro comando:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
O servidor agora está autenticando com o AD/LDAP via LDAPS.

Se algum erro ou problema for encontrado ao seguir este procedimento, verifique com o administrador da CA para garantir que os certificados corretos estejam sendo usados/retirados.

Additional Information

Se você estiver usando o Windows Active Directory ou Linux LDAP (por exemplo: OpenLDAP) o protocolo LDAP é usado para autenticação. LDAP (Lightweight Directory Application Protocol) e LDAPS (Secure LDAPS) são os protocolos de conexão usados entre o aplicativo e o diretório de rede ou controlador de domínio dentro da infraestrutura.

O LDAP transmite comunicações em Texto claro, e a comunicação LDAPS é criptografada e segura.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.