Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)

Summary: Ten artykuł bazy wiedzy zawiera szczegółowe informacje na temat procesu wymaganego do skonfigurowania usługi "AD over SSL" (LDAPS) z poziomu interfejsu użytkownika sieciowego NetWorker (NWUI). Opcja konfiguracji repozytoriów zewnętrznych urzędów z NWUI została udostępniona w oprogramowaniu NetWorker w wersji 19.6.x i nowszych. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

W celu skonfigurowania połączenia SSL do uwierzytelniania należy zaimportować główny urząd certyfikacji (lub łańcuch urzędu certyfikacji w przypadku użycia) do pliku cacerts, który jest używany przez proces authc NetWorker.

Konfigurowanie AUTHC do korzystania z SSL

1) Otwórz wiersz polecenia administratora/głównego w katalogu Java bin.
  • Jeśli używasz środowiska runtime Environment (NRE) NetWorker dla instancji Java serwera AUTHC, lokalizacja:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
  • W przypadku korzystania z oprogramowania Oracle Java ścieżka pliku może się różnić w zależności od zainstalowanej lokalizacji i używanej wersji języka Java. 
2, a) Wyświetla listę bieżących zaufanych certyfikatów w magazynie zaufania.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Domyślne hasło do storepass to changeit.
  • Na serwerach Windows polecenie keytool zostałoby uruchomione z katalogu Java bin, ale wygląda następująco:
    • keytool -list -keystore .. \lib\security\cacerts -storepass changeit
2, b) Przejrzyj listę aliasów odpowiadających serwerowi LDAPS (może to nie istnieć). Za pomocą polecenia grep lub findstr systemu operacyjnego można zawęzić zakres wyszukiwania za pomocą powyższego polecenia. Jeśli istnieje przestarzały lub istniejący certyfikat urzędu certyfikacji z serwera LDAPS, usuń go za pomocą następującego polecenia:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Zastąp ALIAS_NAME nazwą aliasu serwera LDAPS zebranego z danych wyjściowych w 2, a.
3, a) Użyj narzędzia OpenSSL, aby uzyskać kopię certyfikatu urzędu certyfikacji z serwera LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Domyślnie hosty Windows nie zawierają programu Opensl. Jeśli nie można zainstalować openssl na serwerze NetWorker, certyfikaty można wyeksportować bezpośrednio z serwera LDAPS; zaleca się jednak korzystanie z narzędzia OpenSSL. 
  • System Linux zazwyczaj jest dostarczany z zainstalowanym opensl. Jeśli w środowisku są serwery Linux, możesz użyć opensl w celu zebrania/utworzenia plików certyfikatu. Można je skopiować i wykorzystać na serwerze Windows Authc.
  • Jeśli nie masz openssl i nie możesz go zainstalować, poproś administratora usługi AD o jeden lub więcej certyfikatów, wyeksportowując je jako kodowany format x.509 w wersji Base-64.
  • Zamień LDAPS_SERVER na nazwę hosta lub adres IP serwera LDAPS.

3, b) Powyższe polecenie powoduje wyświetlenie certyfikatu urzędu certyfikacji lub łańcucha certyfikatów w formacie PEM, np.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
UWAGA: Jeśli istnieje łańcuch certyfikatów, ostatnim certyfikatem jest certyfikat urzędu certyfikacji. Należy zaimportować każdy certyfikat w łańcuchu w kolejności (od góry do do góry), kończąc na certyfikat urzędu certyfikacji.
 
3, c) Skopiuj certyfikat, zaczynając od certyfikatu ---BEGIN--- kończąc na ---END CERTIFICATE--- i wklej go do nowego pliku. Jeśli istnieje łańcuch certyfikatów, należy to zrobić z każdym certyfikatem.

4) Zaimportuj certyfikat lub certyfikaty utworzone w 3, c do magazynu kluczy zaufania JAVA:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Zamień ALIAS_NAME aliasem importowanego certyfikatu. Zazwyczaj jest to nazwa serwera LDAPS. Podczas importowania wielu certyfikatów dla łańcucha certyfikatów każdy certyfikat musi mieć inną nazwę ALIAS i być importowany oddzielnie. Łańcuch certyfikatów musi być również zaimportowany w kolejności od kroku 3, a (od góry do do góry).
  • Zamień PATH_TO\CERT_FILE na lokalizację pliku certyfikatu utworzonego w kroku 3 c.
Zostanie wyświetlony monit o zaimportowanie certyfikatu, wpisanie yes i naciśnięcie klawisza Enter.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

UWAGA: Przeprowadź (|) polecenie "grep" lub "findstr" systemu operacyjnego do powyższych poleceń, aby zawęzić wynik. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Uruchom ponownie usługi serwera NetWorker
 
Linux: nsr_shutdown
service networker uruchomić

system Windows: net stop nsrd
net start nsrd

 
UWAGA: Jeśli usługi serwera NetWorker nie zostaną uruchomione ponownie, authc nie odczyta pliku cacerts i nie wykryje zaimportowanych certyfikatów wymaganych do ustanowienia komunikacji SSL z serwerem LDAP.

 

Tworzenie zasobu zewnętrznego podmiotu zarządzającego "AD over SSL" z NWUI

1. W przeglądarce internetowej uzyskaj dostęp do serwera NWUI:
https://nwui-server-name:9090/nwui2. Zaloguj się przy użyciu konta administratora NetWorker.
3. W menu rozwiń opcję Authentication Server (Serwer uwierzytelniania) i kliknij opcję External Authorities (Urzędy zewnętrzne).
4. W pozycję External Authorities (Urzędy zewnętrzne) kliknij przycisk Add+.
5. Wypełnij pola konfiguracji:

Konfiguracja podstawowa:
Field Wartość
Nazwa Nazwa opisowa bez spacji dla konfiguracji LDAP lub AD. Maksymalna liczba znaków to 256. Określ znaki ASCII tylko w nazwie konfiguracji.
Typ serwera AD przez SSL
Nazwa serwera dostawcy  Określa nazwę hosta lub adres IP serwera Active Directory
Port Port 636 jest używany w SSL. To pole powinno być wypełniane automatycznie, jeśli wybrano opcję "AD over SSL".
Dzierżawy Wybierz dzierżawcę, jeśli został skonfigurowany. Jeśli żaden dzierżawca nie jest skonfigurowany lub wymagany, można użyć "ustawień domyślnych". 
Konfiguracja dzierżawcy wymaga następującej składni logowania "tenant_name\domain_name\user_name". Jeśli używany jest domyślny dzierżawca (wspólny), składnia logowania to "domain_name\user_name". 

Dzierżawa — kontener organizacyjny najwyższego poziomu dla usługi uwierzytelniania NetWorker. Każdy zewnętrzny urząd uwierzytelniający w lokalnej bazie danych jest przypisany do dzierżawcy. Dzierżawca może zawierać co najmniej jedną domenę, ale nazwy domen muszą być unikatowe w dzierżawie. Usługa uwierzytelniania NetWorker tworzy jedną wbudowaną nazwę dzierżawcy domyślną, która zawiera domenę domyślną. Utworzenie wielu dzierżawców ułatwia zarządzanie złożonymi konfiguracjami. Na przykład dostawcy usług z ograniczonymi strefami danych (RDZ) mogą utworzyć wielu dzierżawców w celu zapewnienia izolowanych usług ochrony danych użytkownikom dzierżawcy.
Domena Pełna nazwa domeny, w tym wszystkie wartości kontrolera domeny; np. example.com
Nazwa domeny użytkownika Określa pełną nazwę wyróżniającą (DN) konta użytkownika, który ma pełny dostęp do odczytu do katalogu AD.
Hasło DN użytkownika Określa hasło konta użytkownika, które służy do uzyskiwania dostępu i odczytu bezpośrednio do AD
 
Zaawansowana konfiguracja:
Klasa obiektów grupy Wymagane. Klasę obiektów identyfikującą grupy w hierarchii LDAP lub AD.
● W przypadku protokołu LDAP należy używać grupOfUniqueNames lub
groupOfNames.
● W przypadku AD należy użyć grupy.
Ścieżka wyszukiwania grupy (opcjonalna) Nazwa domeny określająca ścieżkę wyszukiwania używaną przez usługę uwierzytelniania podczas wyszukiwania grup w hierarchii LDAP lub AD.
Atrybut nazwy grupy Atrybut identyfikujący nazwę grupy. Na przykład cn.
Atrybut członka grupy Członkostwo w grupie użytkowników
w grupie.
● W przypadku protokołu LDAP:
○ Gdy klasa obiektu grupy to groupOfNames , atrybut jest powszechnie elementem członkowskim.
○ Gdy klasa obiektu grupy to groupOfUniqueNames , atrybut jest zazwyczaj unikatowy.
● W przypadku AD wartość jest powszechnie członkiem.
Klasa obiektów użytkownika Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD. Na przykład osoba.
Ścieżka wyszukiwania użytkownika (opcjonalna) Nazwa domeny określająca ścieżkę wyszukiwania używaną przez usługę uwierzytelniania podczas wyszukiwania użytkowników w hierarchii LDAP lub AD. Określ ścieżkę wyszukiwania względem podstawowej nazwy DN określonej w opcji configserver-address. Na przykład w przypadku AD należy określić cn=users.
Atrybut identyfikatora użytkownika Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD.
W przypadku protokołu LDAP ten atrybut jest powszechnie uid.
W przypadku AD ten atrybut jest zazwyczaj nazwą sAMAccountName.

 

UWAGA: Skontaktuj się z administratorem AD/LDAP, aby potwierdzić, które pola AD/LDAP są potrzebne w danym środowisku.

6. Po zakończeniu kliknij przycisk Zapisz.
7. Powinno zostać wyświetlone podsumowanie skonfigurowanego zasobu zewnętrznego urzędu:

 

Przykład skonfigurowanej usługi AD za pośrednictwem zasobu SSL w oknie zewnętrznego urzędu NWUI

8. W menu Server->User Groups Edytuj grupy użytkowników, które zawierają prawa, które chcesz przekazać do grup lub użytkowników AD/LDAP. Na przykład, aby przyznać pełne uprawnienia administratora, nazwa DN grupy AD/użytkownika powinna zostać określona w polu Role zewnętrzne ról Administratorów aplikacji i Administratorów zabezpieczeń.

Np.: CN = NetWorker_Admins, CN = użytkownicy, DC = emclab, DC = localAdministratorzy aplikacji

9. Po określeniu grupy AD i/lub użytkowników kliknij przycisk Zapisz. 
10. Wyloguj się z interfejsu NWUI i zaloguj się ponownie przy użyciu konta AD:

Przykład logowania do AD NWUI

11. Ikona użytkownika w prawym górnym rogu wskazuje, w którym koncie użytkownika jest zalogowane.

Additional Information

Za pomocą polecenia authc_mgmt na serwerze NetWorker można sprawdzić, czy grupy/użytkownicy AD/LDAP są widoczne:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Np.:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
UWAGA: W niektórych systemach polecenia authc mogą przestać działać z błędem "nieprawidłowego hasła", nawet jeśli podano prawidłowe hasło. Wynika to z tego, że hasło jest określane jako widoczny tekst z opcją "-p". W przypadku wystąpienia tego problemu usuń hasło "-p" z poleceń. Po uruchomieniu polecenia zostanie wyświetlony monit o wprowadzenie hasła ukrytego.


Dodatkowe zasoby:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.