Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)

Summary: I den här kunskapsdatabasartikeln beskrivs processen som krävs för att konfigurera "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI). Alternativet att konfigurera externa behörighetsdatalager från NWUI gjordes tillgängligt i NetWorker 19.6.x och senare. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

För att konfigurera en SSL-anslutning för autentisering måste rotcertifikatutfärdaren (eller ca-kedjan när den används) importeras till den cacerts-fil som används av NetWorkers auktoriseringsprocess.

Konfigurera AUTHC för att använda SSL

1) Öppna en kommandotolk för administration/rot i Java-bin-katalogen.
  • Om du använder NetWorker Runtime Environment (NRE) för AUTHC-serverns Java-instans är platsen:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program\NRE\java\jrex. x. x_xxx\bin
  • Om du använder Oracle Java kan filsökvägen variera beroende på platsen som är installerad och vilken Java-version som används. 
2, a) Visa en lista över aktuella betrodda certifikat i förtroendearkivet.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Standardlösenordet för storepass är changeit.
  • På Windows-servrar kördes keytool-kommandot från Java bin-katalogen men skulle se ut ungefär så här:
    • keytool -list -keystore.. \lib\security\cacerts -storepass changeit
2, b) Granska listan för ett alias som matchar din LDAPS-server (det kanske inte finns). Du kan använda grep- eller findstr-kommandon i operativsystemet med ovanstående kommando för att begränsa sökningen. Om LDAPS-servern har ett inaktuellt eller befintligt CA-certifikat tar du bort det med följande kommando:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Ersätt ALIAS_NAME med aliasnamnet för den LDAPS-server som hämtats från utdata i 2, a.
3, a) Använd OpenSSL-verktyget för att få en kopia av CA-certifikatet från LDAPS-servern.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Som standard innefattar inte Windows-värdarna OpenSL-programmet. Om det inte går att installera OpenSSL på NetWorker-servern kan certifikaten exporteras direkt från LDAPS-servern. Vi rekommenderar dock starkt att du använder OpenSSL-verktyget. 
  • Linux levereras vanligtvis med opensl installerat, om du har Linux-servrar i miljön kan du använda openssl där för att samla in/skapa certifikatfilerna. De kan kopieras till och användas på Windows authc-servern.
  • Om du inte har OpenSSL och den inte kan installeras får ad-administratören tillhandahålla ett eller flera certifikat genom att exportera dem som Base-64-kodade x.509-format.
  • Ersätt LDAPS_SERVER med värdnamnet eller IP-adressen för LDAPS-servern.

3, b) Ovanstående kommando ger ut ca-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Obs! Om det finns en certifikatkedja är det sista certifikatet ca-certifikatet. Du måste importera varje certifikat i kedjan i ordningsföljd (uppifrån och ned) som slutar med certifikatutfärdarcertifikatet.
 
3, c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och slutar med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.

4) Importera certifikaten eller certifikaten som skapas i 3, c till NYCKELlagret för JAVA-förtroende:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Ersätt ALIAS_NAME med ett alias för det importerade certifikatet. Vanligtvis är det här LDAPS-serverns namn. När du importerar flera certifikat för en certifikatkedja måste varje certifikat ha ett annat ALIAS-namn och importeras separat. Certifikatkedjan måste också importeras i ordning från steg 3 a (uppifrån och ned).
  • Ersätt PATH_TO\CERT_FILE med platsen för certifikatfilen som du skapade i steg 3, c.
Du uppmanas att importera certifikatet, skriva ja och trycka på Retur.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

Obs! Rör (|) kommandot grep eller findstr för operativsystemet till ovanstående för att begränsa resultatet. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Starta om NetWorker-servertjänsterna
 
Linux: nsr_shutdown
service networker start

Windows: net stop nsrd
net start nsrd

 
Obs! Om NetWorker-servertjänsterna inte startas om kommer authc inte att läsa cacerts-filen och den identifierar inte de importerade certifikat som krävs för att upprätta SSL-kommunikation med LDAP-servern.

 

Skapa "AD over SSL" extern behörighetsresurs från NWUI

1. Öppna NWUI-servern i en webbläsare:
https://nwui-server-name:9090/nwui2. Logga in med NetWorker-administratörskontot.
3. Expandera Authentication Server (autentiseringsserver) på menyn och klicka på External Authorities (externa myndigheter).
4. I External Authorities klickar du på Add+.
5. Fyll i konfigurationsfälten:

Grundläggande konfiguration:
Fältet Värde
Namn Ett beskrivande namn utan blanksteg för LDAP- eller AD-konfigurationen. Det maximala antalet tecken är 256. Ange endast ASCII-tecken i konfigurationsnamnet.
Servertyp AD över SSL
Leverantörens servernamn  Anger värdnamnet eller IP-adressen för Active Directory-servern
Port Port 636 används för SSL. Det här fältet ska fyllas i automatiskt om "AD over SSL" är valt.
Hyresgästen Välj klientorganisation om den är konfigurerad. Om ingen klientorganisation har konfigurerats eller krävs kan du använda "standard". 
För att konfigurera en klientorganisation krävs följande inloggningssyntax "tenant_name\domain_name\user_name". Om standardklienten används (vanligt) är inloggningssyntaxen "domain_name\user_name". 

Tenant – organisationscontainer på högsta nivå för NetWorker Authentication Service. Varje extern autentiseringsauktorisering i den lokala databasen tilldelas en klientorganisation. En klientorganisation kan innehålla en eller flera domäner, men domännamnen måste vara unika inom klientorganisationen. NetWorker Authentication Service skapar ett inbyggt standardklientnamn som innehåller standarddomänen. Genom att skapa flera klientorganisationer kan du hantera komplexa konfigurationer. Tjänsteleverantörer med begränsade datazoner (RDZ) kan till exempel skapa flera klientorganisationer för att tillhandahålla isolerade dataskyddstjänster till klientanvändare.
Domän Det fullständiga domännamnet inklusive alla DC-värden; t.ex. example.com
Användar-DN Anger det fullständiga unika namnet (DN) för ett användarkonto som har fullständig läsåtkomst till AD-katalogen.
DN-användarlösenord Anger lösenordet för det användarkonto som används för att komma åt och läsa AD Direct
 
Avancerad konfiguration:
Gruppobjektsklass Krävs. Objektklassen som identifierar grupper i LDAP- eller AD-hierarkin.
► För LDAP använder du gruppenOfUniqueNames eller
groupOfNames.
 Använd grupp för AD.
Gruppsökväg (valfritt) Ett DN som anger den sökväg som autentiseringstjänsten ska använda vid sökning efter grupper i LDAP- eller AD-hierarkin.
Gruppnamnattribut Det attribut som identifierar gruppnamnet. Till exempel cn.
Gruppmedlemsattribut Användarens
gruppmedlemskap i en grupp.
► För LDAP:
○ När gruppobjektklassen är groupOfNames är attributet ofta medlem.
○ När gruppobjektklassen är groupOfUniqueNames är attributet ofta unikt.
 För AD är värdet ofta medlem.
Användarobjektsklass Objektklassen som identifierar användarna i LDAP- eller AD-hierarkin. Till exempel person.
Användarsökväg (valfritt) Det DN som anger den sökväg som autentiseringstjänsten ska använda vid sökning efter användare i LDAP- eller AD-hierarkin. Ange en sökväg som är relativ till det bas-DN som du angav i alternativet configserver-address. För AD anger du till exempel cn=users.
Användar-ID-attribut Användar-ID:t som är kopplat till användarobjektet i LDAP- eller AD-hierarkin.
För LDAP är det här attributet ofta uid.
För AD är det här attributet vanligtvis sAMAccountName.

 

Obs! Rådgör med din AD/LDAP-administratör för att bekräfta vilka AD/LDAP-specifika fält som behövs för din miljö.

6. När du är klar klickar du på Save.
7. En sammanfattning av den konfigurerade resursen för extern behörighet bör nu visas:

 

Exempel på konfigurerad AD över SSL-resurs i fönstret NWUI External Authority

8. På menyn Server->User Groups redigerar du de användargrupper som innehåller de rättigheter som du vill delegera till AD/LDAP-grupper eller användare. Om du till exempel vill bevilja fullständiga administratörsrättigheter bör AD-gruppen/användarens DN anges i fältet Externa roller i rollerna Programadministratörer och Säkerhetsadministratörer.

E.g: CN=NetWorker_Admins,CN=användare,DC=emclab,DC=localProgramadministratörer

9. När AD-gruppen och/eller användar-DN har angetts klickar du på Save. 
10. Logga ut från NWUI-gränssnittet och logga in igen med AD-kontot:

Exempel på AD-inloggning för NWUI

11. Användarikonen i det övre högra hörnet anger vilket användarkonto som är inloggt.

Additional Information

Du kan använda kommandot authc_mgmt på NetWorker-servern för att bekräfta att AD/LDAP-grupperna/användarna är synliga:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
E.g:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
Obs! På vissa system kan authc-kommandona misslyckas med felet "felaktigt lösenord" även när rätt lösenord anges. Detta beror på att lösenordet som anges som synligt text med alternativet "-p". Om du stöter på det tar du bort "-p password" från kommandona. Du uppmanas att ange lösenordet som är dolt när du har kört kommandot.


Ytterligare resurser:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.