[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
openssl s_client -showcerts -connect LDAPS_SERVER:636
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Riavviare i servizi del server NetWorker.
1. Da un web browser, accedere al server NWUI:
https://nwui-server-name:9090/nwui2. Accedere utilizzando l'account Amministratore NetWorker.
3. Dal menu , espandere Server autenticazione e fare clic su Autorità esterne.
4. Da Autorità esterne, fare clic su Aggiungi+.
5. Compilare i campi di configurazione:
Campo | Valore |
Name | Un nome descrittivo, senza spazi per la configurazione LDAP o AD. Il numero massimo di caratteri è 256. Specificare i caratteri ASCII solo nel nome di configurazione. |
Tipo di server | AD su SSL |
Nome server provider | Specifica il nome host o l'indirizzo IP del server Active Directory |
Porta | La porta 636 viene utilizzata per SSL; questo campo dovrebbe essere popolato automaticamente se è selezionato "AD over SSL". |
Inquilino | Selezionare il tenant se configurato. Se non è configurato o richiesto alcun tenant, è possibile utilizzare il valore "predefinito". La configurazione di un tenant richiede la seguente sintassi di accesso "tenant_name\domain_name\user_name". Se viene utilizzato il tenant predefinito (comune), la sintassi di login è "domain_name\user_name". Tenant: contenitore organizzativo di primo livello per il servizio di autenticazione NetWorker. Ogni autorità di autenticazione esterna nel database locale viene assegnata a un tenant. Un tenant può contenere uno o più domini, ma i nomi di dominio devono essere univoci all'interno del tenant. Il servizio di autenticazione NetWorker crea un nome tenant predefinito Predefinito, che contiene il dominio predefinito. La creazione di più tenant consente di gestire configurazioni complesse. Ad esempio, i service provider con datazone con restrizioni (RDZ) possono creare più tenant per fornire servizi di protezione dei dati isolati agli utenti tenant. |
Domain | Il nome di dominio completo, inclusi tutti i valori dc; Ad es.: example.com |
DN utente | Specifica il nome distinto (DN) completo di un account utente con accesso completo in lettura alla directory AD. |
Password DN utente | Specifica la password dell'account utente utilizzato per accedere e leggere AD Direct |
Classe Group Object | Obbligatorio. La classe di object che identifica i gruppi nella gerarchia LDAP o AD. ● Per LDAP, utilizzare groupOfUniqueNames o groupOfNames. ● Per ACTIVE Directory, utilizzare il gruppo. |
Percorso di ricerca gruppo (facoltativo) | Un nome di dominio che specifica il percorso di ricerca che il servizio di autenticazione deve utilizzare per la ricerca di gruppi nella gerarchia LDAP o AD. |
Attributo group name | Attributo che identifica il nome del gruppo. Ad esempio, cn. |
Attributo membro del gruppo | Appartenenza a un gruppo dell'utente all'interno di un gruppo. ● Per LDAP: oo: quando group Object Class è groupOfNames , l'attributo è comunemente membro. oo: quando la classe Group Object è groupOfUniqueNames , l'attributo è comunemente un membro univoco. ● Per AD, il valore è comunemente membro. |
Classe User Object | La classe di object che identifica gli utenti nella gerarchia LDAP o AD. Ad esempio, persona. |
Percorso di ricerca utente (facoltativo) | Il nome di dominio che specifica il percorso di ricerca che il servizio di autenticazione deve utilizzare per la ricerca di utenti nella gerarchia LDAP o AD. Specificare un percorso di ricerca relativo al DN di base specificato nell'opzione configserver-address. Ad esempio, per AD, specificare cn=users. |
Attributo ID utente | ID utente associato all'oggetto utente nella gerarchia LDAP o AD. Per LDAP, questo attributo è comunemente uid. Per AD, questo attributo è comunemente sAMAccountName. |
8. Dal menu Server-> Gruppi di utenti Modificare i gruppi di utenti che contengono i diritti che si desidera delegare a gruppi AD/LDAP o utenti. Ad esempio, per concedere diritti di amministratore completi, è necessario specificare il DN gruppo/utente AD nel campo Ruoli esterni degli amministratori dell'applicazione e dei ruoli amministratori di sicurezza.
Adesempio: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Una volta che il gruppo AD e/o i NOMI utente sono stati specificati, cliccare su Salva.
10. Disconnettersi dall'interfaccia NWUI e accedere nuovamente utilizzando l'account AD:
11. L'icona utente nell'angolo in alto a destra indica l'account utente che ha eseguito l'accesso.
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Adesempio:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...