Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)

Summary: Dit KB-artikel beschrijft het proces dat is vereist voor het configureren van "AD over SSL" (LDAPS) vanuit de NetWorker Web User Interface (NWUI). De optie voor het configureren van externe autoriteit-storagelocaties van NWUI is beschikbaar gesteld in NetWorker 19.6.x en hoger. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Om een SSL-verbinding voor authenticatie te configureren, moet de root-CA (of CA-keten indien gebruikt) worden geïmporteerd in het cacerts-bestand dat wordt gebruikt door het authc-proces van NetWorker.

AUTHC configureren om SSL te gebruiken

1) Open een opdrachtprompt voor beheer/root in de Java bin-map.
  • Als u NetWorker Runtime Environment (NRE) gebruikt voor de Java-instantie van de AUTHC-server, is de locatie:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
  • Als u Oracle Java gebruikt, kan het bestandspad verschillen, afhankelijk van de locatie die is geïnstalleerd en de gebruikte Java-versie. 
2, a) Een lijst met huidige vertrouwde certificaten weergeven in het vertrouwensarchief.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Het standaardwachtwoord voor de storepass is changeit.
  • Op Windows-servers wordt de opdracht keytool uitgevoerd vanuit de Java bin-map, maar ziet er ongeveer als:
    • keytool -list -keystore .. \lib\security\cacerts -storepass changeit
2, b) Controleer de lijst voor een alias die overeenkomt met uw LDAPS-server (dit bestaat mogelijk niet). U kunt grep- of findstr-opdrachten van het besturingssysteem gebruiken met de bovenstaande opdracht om de zoekopdracht te beperken. Als er een verouderd of bestaand CA-certificaat van uw LDAPS server is, verwijdert u dit met de volgende opdracht:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Vervang ALIAS_NAME door de aliasnaam van de LDAPS-server die in 2 van de uitvoer is verzameld, a.
3, a) Gebruik de OpenSSL tool om een kopie van het CA-certificaat van de LDAPS-server te verkrijgen.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Windows-hosts bevatten standaard het openssl-programma niet. Als het niet mogelijk is om OpenSSL op de NetWorker-server te installeren, kunnen de certificaten rechtstreeks vanaf de LDAPS-server worden geëxporteerd. Het wordt echter sterk aanbevolen om het hulpprogramma OpenSSL te gebruiken. 
  • Linux wordt meestal geleverd met openssl geïnstalleerd. Als u Linux-servers in de omgeving hebt, kunt u openssl daar gebruiken om de certificaatbestanden te verzamelen/maken. Deze kunnen worden gekopieerd naar en gebruikt op de Windows authc-server.
  • Als u geen OpenSSL hebt en deze niet kunt worden geïnstalleerd, geeft uw AD-beheerder een of meer certificaten door ze te exporteren als Base-64-gecodeerd x.509-indeling.
  • Vervang LDAPS_SERVER door de hostnaam of het IP-adres van uw LDAPS server.

3, b) De bovenstaande opdracht voert het CA-certificaat of een keten van certificaten in PEM-indeling uit, bijvoorbeeld:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
OPMERKING: Als er een keten van certificaten is, is het laatste certificaat het CA-certificaat. U moet elk certificaat in de keten importeren in de volgorde (bovenin) die eindigt op het CA-certificaat.
 
3, c) Kopieer het certificaat vanaf ---BEGIN CERTIFICATE--- en eindigt op ---END CERTIFICATE--- en plak het in een nieuw bestand. Als er een keten van certificaten is, moet u dit doen met elk certificaat.

4) Importeer het certificaat of de certificaten die zijn gemaakt in 3, c in de JAVA Trust Keystore:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Vervang ALIAS_NAME door een alias voor het geïmporteerde certificaat. Dit is meestal de LDAPS-servernaam. Bij het importeren van meerdere certificaten voor een certificaatketen, moet elk certificaat een andere ALIAS-naam hebben en apart worden geïmporteerd. De certificaatketen moet ook worden geïmporteerd in volgorde van stap 3, a (boven naar beneden).
  • Vervang PATH_TO\CERT_FILE door de locatie van het cert-bestand dat u hebt gemaakt in stap 3, c.
U wordt gevraagd om het certificaat te importeren, typ ja en druk op Enter.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

OPMERKING: Pijp (|) de grep- of findstr-opdracht van het besturingssysteem naar het bovenstaande om het resultaat te beperken. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Start de NetWorker-serverservices opnieuw op. 
 
Linux: nsr_shutdown
service networker start

Windows: net stop nsrd
net start nsrd

 
OPMERKING: Als de NetWorker-serverservices niet opnieuw worden opgestart, leest authc het cacerts-bestand niet en worden de geïmporteerde certificaten die nodig zijn voor het tot stand brengen van SSL-communicatie met de LDAP-server niet gedetecteerd.

 

Externe autoriteitsresource 'AD via SSL' maken vanuit NWUI

1. Vanuit een webbrowser opent u de NWUI-server:
https://nwui-server-name:9090/nwui2. Meld u aan met het NetWorker Administrator-account.
3. Vouw in het menu Authenticatieserver uit en klik op Externe instanties.
4. Klik in Externe instanties op Toevoegen+.
5. Vul de configuratievelden in:

Basisconfiguratie:
Veld Waarde
Naam Een beschrijvende naam, zonder spaties voor de LDAP- of AD-configuratie. Het maximumaantal tekens is 256. Geef alleen ASCII-tekens op in de configuratienaam.
Servertype AD via SSL
Naam providerserver  Specificeert de hostnaam of het IP-adres van de Active Directory-server
Poort Poort 636 wordt gebruikt voor SSL. Dit veld wordt automatisch ingevuld als 'AD over SSL' is geselecteerd.
Huurder Selecteer de tenant als deze is geconfigureerd. Als er geen tenant is geconfigureerd of vereist, kunt u de 'standaard' gebruiken. 
Voor het configureren van een tenant is de volgende aanmeldingssyntaxis "tenant_name\domain_name\user_name" vereist. Als de standaard tenant wordt gebruikt (gemeenschappelijk), is de aanmeldingssyntaxis "domain_name\user_name". 

Tenant: organisatiecontainer op hoofdniveau voor de NetWorker Authentication Service. Elke externe verificatieautoriteit in de lokale database wordt toegewezen aan een tenant. Een tenant kan een of meer domeinen bevatten, maar de domeinnamen moeten uniek zijn binnen de tenant. De NetWorker Authentication Service maakt één ingebouwde tenantnaam, die het standaarddomein bevat. Het maken van meerdere tenants helpt u bij het beheren van complexe configuraties. Serviceproviders met beperkte datazones (RDZ) kunnen bijvoorbeeld meerdere tenants maken om geïsoleerde databeschermingsservices te bieden aan tenant-gebruikers.
Domein De volledige domeinnaam inclusief alle DC-waarden; bijv.: example.com
Gebruikers-DN Specificeert de volledige distinguished name (DN) van een gebruikersaccount met volledige leestoegang tot de AD-directory.
DN-wachtwoord gebruiker Specificeert het wachtwoord van het gebruikersaccount dat wordt gebruikt om de AD Direct te openen en te lezen
 
Geavanceerde configuratie:
Groepsobjectklasse Vereist. De objectklasse die groepen identificeert in de LDAP- of AD-hiërarchie.
● Voor LDAP gebruikt u groupOf UniqueNames of
groupOfNames.
● Voor AD gebruikt u groep.
Zoekpad voor groepen (optioneel) Een DN die het zoekpad specificeert dat de authenticatieservice moet gebruiken bij het zoeken naar groepen in de LDAP- of AD-hiërarchie.
Kenmerk Groepsnaam Het kenmerk dat de groepsnaam identificeert. Bijvoorbeeld cn.
Kenmerk groepslid Het groepslidmaatschap van de gebruiker
binnen een groep.
● Voor LDAP:
Eken wanneer de groepsobjectklasse groupOfNames is, is het kenmerk meestal lid.
Eken wanneer de groepsobjectklasse groupOf UniqueNames is, is het kenmerk meestal uniek.
● Voor AD is de waarde meestal lid.
Gebruikersobjectklasse De objectklasse die de gebruikers in de LDAP- of AD-hiërarchie identificeert. Bijvoorbeeld: persoon.
Zoekpad gebruiker (optioneel) De DN die het zoekpad specificeert dat de authenticatieservice moet gebruiken bij het zoeken naar gebruikers in de LDAP- of AD-hiërarchie. Geef een zoekpad op dat betrekking heeft op de basis-DN die u hebt opgegeven in de optie configserver-adres. Geef bijvoorbeeld voor AD cn=users op.
Kenmerk gebruikers-ID De gebruikers-ID die is gekoppeld aan het gebruikersobject in de LDAP- of AD-hiërarchie.
Voor LDAP is dit kenmerk meestal uid.
Voor AD is dit kenmerk meestal sAMAccountName.

 

OPMERKING: Neem contact op met uw AD/LDAP-beheerder om te controleren welke AD/LDAP-specifieke velden nodig zijn voor uw omgeving.

6. Klik op Opslaan wanneer u klaar bent.
7. Er zou nu een samenvatting van de geconfigureerde externe autoriteitsresource moeten worden weergegeven:

 

Voorbeeld van geconfigureerde AD over SSL-bron in het venster NWUI External Authority

8. Bewerk in het menu Server->Gebruikersgroepen de gebruikersgroepen die de rechten bevatten die u aan AD/LDAP-groepen of gebruikers wilt delegeren. Om bijvoorbeeld volledige beheerdersrechten te verlenen, moet de AD-groep/gebruikers-DN worden opgegeven in het veld Externe rollen van de rollen Applicatiebeheerders en Beveiligingsbeheerders.

Bijvoorbeeld: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=localApplicatiebeheerders

9. Zodra de AD-groep en/of gebruikers-DN's zijn opgegeven, klikt u op Opslaan. 
10. Meld u af bij de NWUI-interface en meld u weer aan met behulp van het AD-account:

Voorbeeld van aanmelden bij NWUI AD

11. Het gebruikerspictogram in de rechterbovenhoek geeft aan in welk gebruikersaccount is aangemeld.

Additional Information

U kunt de opdracht authc_mgmt op uw NetWorker server gebruiken om te bevestigen dat de AD/LDAP-groepen/gebruikers zichtbaar zijn:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Bijvoorbeeld:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
OPMERKING: Op sommige systemen mislukken de authc-opdrachten met een foutmelding 'incorrect password', zelfs wanneer het juiste wachtwoord wordt gegeven. Dit komt doordat het wachtwoord wordt opgegeven als zichtbare tekst met de optie "-p". Als u dit tegenkomt, verwijdert u '-p password' uit de opdrachten. U wordt gevraagd om het wachtwoord in te voeren dat verborgen is na het uitvoeren van de opdracht.


Aanvullende bronnen:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.