[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
openssl s_client -showcerts -connect LDAPS_SERVER:636
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Käynnistä NetWorker-palvelinpalvelut uudelleen.
1. Siirry selaimessa NWUI-palvelimeen:
https://nwui-server-name:9090/nwui2. Kirjaudu sisään NetWorker Administrator -tilillä.
3. Laajenna Authentication Server (Todennuspalvelin) -valikko ja valitse External Authorities (Ulkoiset varmennuspalvelimet).
4. Valitse Ulkoiset tahot -kohdassa Add+.
5. Täytä määrityskentät:
Kenttä | Arvo |
Nimi | Kuvaava nimi ilman välejä LDAP- tai AD-määritykselle. Merkkien enimmäismäärä on 256. Määritä ASCII-merkit vain kokoonpanonimessä. |
Palvelimen tyyppi | AD over SSL |
Provider Server Name | Määrittää Active Directory -palvelimen isäntänimen tai IP-osoitteen. |
Portti | Porttia 636 käytetään SSL:n kanssa. Tämä kenttä täytetään automaattisesti, jos AD over SSL on valittu. |
Vuokralainen | Valitse vuokralainen, jos sellainen on määritetty. Jos vuokraajaa ei ole määritetty tai sitä ei tarvita, voit käyttää oletusasetusta. Vuokraajan määrittämiseen tarvitaan seuraava kirjautumissyntaksi tenant_name\domain_name\user_name. Jos oletusvuokraaja on käytössä (yleinen), kirjautumisen syntaksi on domain_name\user_name. Vuokralainen: NetWorker Authentication Servicen ylimmän tason organisaatiosäilö. Kullekin paikallisen tietokannan ulkoiselle todennuksen varmennukselle on määritetty vuokralainen. Vuokraajassa voi olla vähintään yksi toimialue, mutta toimialuenimien on oltava yksilöllisiä vuokraajassa. NetWorker Authentication Service luo yhden sisäänrakennetun vuokraajan nimen Default, joka sisältää oletustoimialueen. Useiden vuokralaisten luominen helpottaa monimutkaisten määritysten hallintaa. Esimerkiksi palveluntarjoajat, joilla on rajoitetut tietovyöhykkeet (RDZ), voivat luoda useita vuokraajia tarjoamaan eristettyjä tietosuojapalveluja vuokraajan käyttäjille. |
Domain | Koko toimialueen nimi, mukaan lukien kaikki toimialueen ohjauskoneen arvot esim. example.com |
Käyttäjän DN | Määrittää sen käyttäjätilin täydellisen DN-nimen, jolla on täydet luku oikeudet AD-hakemistoon. |
Käyttäjän DN-salasana | Määrittää sen käyttäjätilin salasanan, jolla AD direct avataan ja luetaan |
Ryhmäobjektiluokka | Tarvitaan. Objektiluokka, joka tunnistaa LDAP- tai AD-hierarkian ryhmiä. ● Käytä LDAP:ssa groupOfUnldaNames - tai GroupOfNames-nimeä. ● Käytä AD:lle ryhmää. |
Ryhmähakupolku (valinnainen) | DN, joka määrittää hakupolun, jota todennuspalvelun on käytettävä haettaessa LDAP- tai AD-hierarkian ryhmiä. |
Ryhmän nimimäärite | Määritteen, joka ilmaisee ryhmän nimen. esimerkki: cn. |
Ryhmän jäsenmäärite | Ryhmän käyttäjän ryhmäjäsenyys. ● LDAP: 4 Kun Group Object Class on GroupOfNames , määrite on yleisesti jäsen. 4 Kun Group Object Class on GroupOfUn¹Names - määrite, määritteen numero on yleisesti yksilöllinen. ● AD:n arvo on yleisesti jäsen. |
User Object Class | Objektiluokka, joka tunnistaa käyttäjät LDAP- tai AD-hierarkiassa. esimerkiksi henkilö. |
Käyttäjähakupolku (valinnainen) | DN, joka määrittää hakupolun, jota todennuspalvelun on käytettävä etsiessään käyttäjiä LDAP- tai AD-hierarkiasta. Määritä hakupolku, joka vastaa configserver-address-valinnassa määrittämääsi perustason DN-polkua. Määritä esimerkiksi AD:lle cn=users. |
Käyttäjätunnusmäärite | Käyttäjätunnus, joka liittyy käyttäjäobjektiin LDAP- tai AD-hierarkiassa. LDAP:tä varten tämä määrite on yleisesti uidoitu. AD:n määritteen nimi on yleisesti sAMAccountName. |
8. Server->User Groups -valikossa voit muokata käyttäjäryhmiä, jotka sisältävät oikeudet, jotka haluat siirtää AD-/LDAP-ryhmille tai -käyttäjille. Jos esimerkiksi haluat myöntää täydet järjestelmänvalvojan oikeudet, AD-ryhmän/käyttäjän DN on määritettävä Application Administrators and Security Administrators -roolien External Roles -kentässä.
Esim: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Kun olet määrittänyt AD-ryhmän ja/tai käyttäjän DN-nimet, valitse Tallenna.
10. Kirjaudu ulos NWUI-käyttöliittymästä ja kirjaudu takaisin sisään AD-tilillä:
11. Oikeassa yläkulmassa oleva käyttäjäkuvake osoittaa, mikä käyttäjätili on kirjautunut sisään.
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Esim:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...