Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: Як використовувати скрипти authc_config для налаштовування розпізнавання LDAPS

Summary: Загальний огляд налаштування автентифікації AD/LDAP через LDAPS за допомогою authc_config скриптів NetWorker. Цим також можна скористатися при оновленні або перетворенні наявних налаштувань LDAP на LDAPS. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ця база даних в першу чергу зосереджена на тому, що потрібно для налаштування LDAPS, для ширшого пояснення того, що потрібно для інтеграції AD/LDAP з NetWorker, див.: NetWorker: Як налаштувати автентифікацію AD/LDAP

ПРИМІТКА: External Authority можна налаштувати за допомогою консолі керування NetWorker та веб-інтерфейсу користувача NetWorker (NWUI); Втім, під час налаштовування Active Directory за допомогою LDAPS, зазвичай, рекомендується використовувати скрипт authc_config або NWUI (19.7 і новіші). Параметр налаштовування NMC пропонує лише «LDAP поверх SSL»; якщо використано цей параметр, буде встановлено "Active Directory: false" . Цей параметр очікує, що сервером автентифікації буде LDAP, а не Microsoft Active Directory. Це призведе до невдалих входів. У процесі, описаному в цій базі знань, докладно описано, як налаштувати LDAPS за допомогою сценарію authc_configure. NWUI (19.7 і новіші) пропонує опцію «AD over SSL». NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)

Рекомендуємо спочатку налаштувати AD/LDAP на LDAP, а потім перетворити його на LDAP, щоб виключити будь-які потенційні проблеми з налаштуванням.

Щоб скористатися LDAPS, вам слід імпортувати сертифікат ЦС (або ланцюжок сертифікатів) із сервера LDAPS до сховища довірчих ключів JAVA. Це можна зробити за допомогою наступної процедури:
1) Відкрийте адміністративний/кореневий командний рядок.

2,a) Відображення списку поточних довірених сертифікатів у сховищі довіри. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Зазвичай, двійкове розташування JAVA є частиною змінної середовища OS PATH, тому "keytool" можна запускати з будь-якого місця. Якщо ОС не вдається знайти виконуваний файл keytool. Запустіть команди keytool з каталогу JAVA \bin на вашому сервері NetWorker.
  • Замініть JAVA_PATH на шлях до вашої інсталяції JAVA, назва шляху залежить від встановленої версії JAVA.
    • У системах з встановленим середовищем виконання NetWorker (NRE) це, як правило, таке:
      • Linux: /opt/nre/java/latest/
      • Вікна: C:\Program Files\NRE\java\jre-###
  • Замініть пароль на JAVA storepass. За замовчуванням використовується значення changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Перегляньте список на наявність псевдоніма, який відповідає вашому серверу LDAPS (такого може не бути). Ви можете використовувати команди OS grep/findstr з наведеною вище командою, щоб звузити пошук. Якщо на вашому сервері LDAPS є застарілий/наявний сертифікат ЦС, видаліть його за допомогою такої команди: 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Замініть ALIAS_NAME назвою псевдоніма сервера LDAPS, зібрану з виведених даних у 2,a.

3,a) Скористайтеся інструментом OpenSSL, щоб отримати копію сертифіката ЦС із сервера LDAPS. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • За замовчуванням хости Windows не включають програму openssl. Якщо немає можливості встановити OpenSSL на сервер NetWorker, сертифікати можна експортувати безпосередньо з сервера LDAPS; однак настійно рекомендується використовувати утиліту OpenSSL.
  • Якщо шлях до двійкового каталогу OpenSSL не є частиною змінної середовища OS PATH, вам потрібно буде запускати команди OpenSSL з їх двійкового розташування.
  • Якщо у вас немає OpenSSL і його не можна встановити, попросіть адміністратора AD надати сертифікат(и), експортувавши їх у форматі x.509 у кодуванні Base-64.
  • Замініть LDAPS_SERVER назвою вузла або IP-адресою вашого сервера LDAPS.

3,b) Наведена вище команда виведе сертифікат ЦС або ланцюжок сертифікатів у форматі PEM, наприклад: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
ПРИМІТКА: Якщо є ланцюжок сертифікатів, то останнім сертифікатом є сертифікат ЦС. Вам потрібно буде імпортувати кожен сертифікат у ланцюжку по порядку (зверху вниз), закінчуючи сертифікатом ЦС. 

3,c) Скопіюйте сертифікат, починаючи з --- BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE --- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, вам потрібно буде зробити це з кожним сертифікатом.

4) Імпортуйте сертифікат(и), створені в 3,c, до сховища довірчих ключів JAVA: 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Замініть ALIAS_NAME псевдонімом імпортованого сертифіката. Типово, це назва сервера LDAPS. Якщо потрібно імпортувати кілька сертифікатів для ланцюжка сертифікатів, кожен сертифікат повинен мати окреме ім'я ALIAS і імпортуватися окремо. Ланцюжок сертифікатів також має бути імпортований у тому порядку, в якому він був представлений на кроці 3,a (зверху вниз).
  • Замініть JAVA_PATH на шлях до вашої інсталяції JAVA, назва шляху залежить від встановленої версії JAVA.
  • Замініть пароль на JAVA storepass. За замовчуванням використовується значення changeit.
  • Замініть PATH_TO\CERT_FILE розташуванням файлу сертифіката, який ви створили на кроках 3,c.
  • Вам буде запропоновано імпортувати сертифікат, введіть yes і натисніть Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Підтвердьте, що сертифікат відображається у сховищі ключів: 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
ПРИМІТКА: Передайте (|) команду операційної системи grep або findstr до наведеної вище, щоб звузити результати.  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Перезапустіть серверні служби NetWorker. 
Linux: 
nsr_shutdown
      Запуск
мережі службВікна: Чиста зупинка NRD Чистий старт NRD
 
ПРИМІТКА: Якщо серверні служби NetWorker не перезапустити, authc не прочитає файл cacerts і не виявить імпортовані сертифікати, необхідні для встановлення SSL-зв'язку з сервером LDAP.
 
7,a) Оновіть свій сценарій authc-create-ad-config (Active Directory) АБО authc-create-ldap-config (LDAP), щоб використовувати LDAPS:
Мі́сце:
Лінукс /opt/nsr/authc-server/scripts/
Вікна [ІНСТАЛЯЦІЙНИЙ ДИСК]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
ПРИМІТКА: Якщо ви додаєте нову конфігурацію, слід використовувати "-e add-config", якщо ви оновлюєте наявну конфігурацію, слід використовувати "-e update-config". У рядку адреси config-server-address вкажіть протокол "ldaps" (має бути в нижньому регістрі) і порт "636".
 
7,b) Запустіть скрипт з командного рядка. Він повинен повідомити, що конфігурацію було оновлено/додано успішно.

8) Підтвердьте, що конфігурація була оновлена: 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • При кожній команді вам буде запропоновано ввести пароль адміністратора NetWorker. Команду можна запустити з прапорцем "-p password", але це може не спрацювати в деяких ОС через використання відкритого текстового пароля.
  • Замініть CONFIG_ID на ідентифікатор конфігурації, зібраний першою командою:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
У новій версії сервер проходить автентифікацію за допомогою AD/LDAP через LDAPS.

Якщо під час виконання цієї процедури виникнуть будь-які помилки або проблеми, зверніться до адміністратора ЦС, щоб переконатися, що використовуються/витягуються правильні сертифікати.

Additional Information

Незалежно від того, чи використовуєте ви Windows Active Directory або Linux LDAP (наприклад: OpenLDAP) для розпізнавання використовується протокол LDAP. LDAP (Lightweight Directory Application Protocol) і Secure LDAP (LDAPS) — це протоколи з'єднання, які використовуються між програмою та мережевим каталогом або контролером домену в інфраструктурі.

LDAP передає повідомлення відкритим текстом, а зв'язок LDAPS зашифрований і безпечний.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.