Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)

Summary: En esta KB, se detalla el proceso necesario para configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI). La opción para configurar repositorios de autoridad externa desde NWUI estaba disponible en NetWorker 19.6.x y versiones posteriores. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Para configurar una conexión SSL para la autenticación, la CA raíz (o la cadena de CA cuando se utiliza) se debe importar al archivo cacerts que utiliza el proceso de autenticación de NetWorker.

Configuración de AUTHC para usar SSL

1) Abra un símbolo del sistema administrativo/raíz en el directorio bin de Java.
  • Si utiliza NetWorker Runtime Environment (NRE) para la instancia java del servidor AUTHC, la ubicación es:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Archivos de programa\NRE\java\jrex. x. x_xxx\bin
  • Si utiliza Java de Oracle, la ruta del archivo puede variar según la ubicación instalada y la versión de Java utilizada. 
2, a) Muestra una lista de certificados de confianza actuales en el almacén de confianza.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • La contraseña predeterminada para storepass es changeit.
  • En los servidores de Windows, el comando keytool se ejecutaría desde el directorio bin de Java, pero se vería así:
    • keytool -list -keystore.. \lib\security\cacerts -storepass changeit
2, b) Revise la lista de un alias que coincida con el servidor LDAPS (es posible que esto no exista). Puede utilizar los comandos grep o findstr del sistema operativo con el comando anterior para limitar la búsqueda. Si hay un certificado de CA desactualizado o existente del servidor LDAPS, elimínelo con el siguiente comando:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Reemplace ALIAS_NAME por el nombre de alias del servidor LDAPS recopilado a partir de la salida en 2, a.
3, a) Utilice la herramienta OpenSSL para obtener una copia del certificado de CA desde el servidor LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • De manera predeterminada, los hosts de Windows no incluyen el programa openssl. Si no es posible instalar OpenSSL en el servidor de NetWorker, los certificados se pueden exportar directamente desde el servidor LDAPS; sin embargo, se recomienda encarecidamente utilizar la utilidad OpenSSL. 
  • Por lo general, Linux viene con openssl instalado. Si tiene servidores Linux en el entorno, puede utilizar openssl allí para recopilar o crear los archivos de certificado. Estos se pueden copiar a y utilizar en el servidor authc de Windows.
  • Si no tiene OpenSSL y no se puede instalar, haga que el administrador de AD proporcione uno o más certificados exportándolos como formato x.509 codificado en Base-64.
  • Reemplace LDAPS_SERVER por el nombre de host o la dirección IP del servidor LDAPS.

3, b) El comando anterior genera el certificado de CA o una cadena de certificados en formato PEM, por ejemplo:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
NOTA: Si hay una cadena de certificados, el último certificado es el certificado de CA. Debe importar cada certificado de la cadena en orden (en sentido descendente) que termine con el certificado de CA.
 
3, c) Copie el certificado a partir de ---BEGIN CERTIFICATE--- y termine con ---END CERTIFICATE--- y péguelo en un archivo nuevo. Si hay una cadena de certificados, debe hacerlo con cada certificado.

4) Importe el certificado o los certificados creados en 3, c en el almacén de claves de confianza de JAVA:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Reemplace ALIAS_NAME por un alias para el certificado importado. Por lo general, este es el nombre del servidor LDAPS. Cuando se importan varios certificados para una cadena de certificados, cada certificado debe tener un nombre DE ALIAS diferente y se debe importar por separado. La cadena de certificados también se debe importar en orden desde el paso 3, a (arriba hacia abajo).
  • Reemplace PATH_TO\CERT_FILE con la ubicación del archivo de certificado que creó en el paso 3, c.
Se le solicitará importar el certificado, escriba yes y presione Intro.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

NOTA: Canalice (|) el comando grep o findstr del sistema operativo a lo anterior para acotar el resultado. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Reinicie los servicios de servidor de NetWorker
 
Linux: nsr_shutdown
service networker start

Windows: net stop nsrd
net start nsrd

 
NOTA: Si los servicios del servidor de NetWorker no se reinician, authc no leerá el archivo cacerts y no detectará los certificados importados necesarios para establecer la comunicación SSL con el servidor LDAP.

 

Creación de un recurso de autoridad externa "AD mediante SSL" desde NWUI

1. Desde un navegador web, acceda al servidor de NWUI:
https://nwui-server-name:9090/nwui2. Inicie sesión con la cuenta de administrador de NetWorker.
3. En el menú, expanda Servidor de autenticación y haga clic en Autoridades externas.
4. En Autoridades externas, haga clic en Agregar+.
5. Complete los campos de configuración:

Configuración básica:
Campo Valor
Nombre Un nombre descriptivo, sin espacios para la configuración de LDAP o AD. La cantidad máxima de caracteres es 256. Especifique caracteres ASCII solo en el nombre de configuración.
Tipo de servidor AD a través de SSL
Nombre del servidor proveedor  Especifica el nombre de host o la dirección IP del servidor de Active Directory
Puerto El puerto 636 se utiliza para SSL; este campo se debe completar automáticamente si se selecciona "AD a través de SSL".
Inquilino Seleccione el grupo de usuarios si está configurado. Si no se configura ni se requiere ningún grupo de usuarios, puede usar el valor "predeterminado". 
La configuración de un grupo de usuarios requiere la siguiente sintaxis de inicio de sesión "tenant_name\domain_name\user_name". Si se utiliza el grupo de usuarios predeterminado (común), la sintaxis de inicio de sesión es "domain_name\user_name". 

Grupo de usuarios: contenedor organizacional de nivel superior para el servicio de autenticación de NetWorker. Cada autoridad de autenticación externa en la base de datos local se asigna a un grupo de usuarios. Un grupo de usuarios puede contener uno o más dominios, pero los nombres de dominio deben ser únicos dentro del grupo de usuarios. El servicio de autenticación de NetWorker crea un nombre de grupo de usuarios incorporado Predeterminado, que contiene el dominio predeterminado. La creación de varios grupos de usuarios lo ayuda a administrar configuraciones complejas. Por ejemplo, los proveedores de servicios con zonas de datos restringidas (RDZ) pueden crear varios grupos de usuarios para proporcionar servicios de protección de datos aislados a los usuarios de grupos de usuarios.
Dominio El nombre de dominio completo, incluidos todos los valores de DC; P. ej.: example.com
DN de Usuario Especifica el nombre distintivo completo (DN) de una cuenta de usuario que tiene acceso de lectura completo al directorio de AD.
Contraseña de DN de usuario Especifica la contraseña de la cuenta de usuario que se utiliza para acceder y leer ad direct
 
Configuración avanzada:
Clase de objeto de grupo Obligatorio. La clase de objeto que identifica grupos en la jerarquía de LDAP o AD.
● Para LDAP, utilice groupOfUniqueNames o
groupOfNames.
● Para AD, utilice el grupo.
Ruta de búsqueda de grupo (opcional) Un DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación cuando se buscan grupos en la jerarquía de LDAP o AD.
Atributo de nombre de grupo Atributo que identifica el nombre del grupo. Por ejemplo, cn.
Atributo de miembro de grupo La membresía en grupo del usuario
dentro de un grupo.
● Para LDAP:
○ Cuando group Object Class es groupOfNames , el atributo es comúnmente miembro.
○ Cuando group Object Class es groupOfUniqueNames , el atributo es comúnmente un miembro único.
● Para AD, el valor suele ser miembro.
Clase de objeto de usuario La clase de objeto que identifica a los usuarios en la jerarquía de LDAP o AD. Por ejemplo, person.
Ruta de búsqueda de usuarios (opcional) El DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación cuando se buscan usuarios en la jerarquía de LDAP o AD. Especifique una ruta de búsqueda relativa al DN base que especificó en la opción configserver-address. Por ejemplo, para AD, especifique cn=users.
Atributo de ID de usuario El ID de usuario asociado con el objeto de usuario en la jerarquía de LDAP o AD.
Para LDAP, este atributo es comúnmente uid.
Para AD, este atributo es comúnmente sAMAccountName.

 

NOTA: Consulte con el administrador de AD/LDAP para confirmar qué campos específicos de AD/LDAP se necesitan para su ambiente.

6. Cuando haya terminado, haga clic en Guardar.
7. Ahora debe aparecer un resumen del recurso de autoridad externa configurado:

 

Ejemplo de recurso de AD configurado mediante SSL en la ventana Autoridad externa de NWUI

8. En el menú Server->User Groups, edite los grupos de usuarios que contienen los derechos que desea delegar a grupos de AD/LDAP o usuarios. Por ejemplo, para otorgar derechos de administrador completos, el DN de grupo/usuario de AD se debe especificar en el campo Funciones externas de las funciones Administradores de aplicaciones y Administradores de seguridad.

Por ejemplo: CN=NetWorker_Admins,CN=Usuarios,DC=emclab,DC=localAdministradores de aplicaciones

9. Una vez que se hayan especificado el grupo de AD o los DN de usuario, haga clic en Guardar. 
10. Cierre sesión en la interfaz de NWUI y vuelva a iniciar sesión con la cuenta de AD:

Ejemplo de inicio de sesión de NWUI ad

11. El ícono de usuario en la esquina superior derecha indica en qué cuenta de usuario haya iniciado sesión.

Additional Information

Puede usar el comando authc_mgmt en el servidor de NetWorker para confirmar que los grupos/usuarios de AD/LDAP sean visibles:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Por ejemplo:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
NOTA: En algunos sistemas, los comandos authc pueden fallar con un error de "contraseña incorrecta", incluso cuando se proporciona la contraseña correcta. Esto se debe a que la contraseña se especifica como texto visible con la opción "-p". Si encuentra esto, elimine "-p password" de los comandos. Se le pedirá que ingrese la contraseña oculta después de ejecutar el comando.


Recursos adicionales:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.