[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
openssl s_client -showcerts -connect LDAPS_SERVER:636
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Restartujte serverové služby NetWorker.
1. Ve webovém prohlížeči přejděte k serveru NWUI:
https://nwui-server-name:9090/nwui2. Přihlaste se pomocí účtu NetWorker Administrator.
3. V nabídce rozbalte položku Ověřovací server a klikněte na možnost Externí autority.
4. V okně External Authorities klikněte na tlačítko Add+.
5. Vyplňte pole konfigurace:
Pole | Hodnota |
Název | Popisný název bez mezer pro konfiguraci LDAP nebo AD. Maximální počet znaků je 256. Zadejte znaky tabulky ASCII pouze v názvu konfigurace. |
Typ serveru | Služba AD přes SSL |
Název serveru poskytovatele | Určuje název hostitele nebo IP adresu serveru Active Directory. |
Port | Port 636 se používá pro protokol SSL. Toto pole by se mělo vyplnit automaticky, pokud je zvolena možnost "AD over SSL". |
Nájemce | Vyberte klienta, pokud je nakonfigurován. Pokud není konfigurovaný nebo požadovaný žádný nájemce, můžete použít "výchozí". Konfigurace nájemce vyžaduje následující syntaxi přihlášení "tenant_name\domain_name\user_name". Pokud je použit výchozí nájemce (společný), pak je syntaxe přihlášení "domain_name\user_name". Tenant – organizační kontejner nejvyšší úrovně pro službu ověřování NetWorker. Každá externí ověřovací autorita v místní databázi je přiřazena nájemci. Klient může obsahovat jednu nebo více domén, ale názvy domén musí být v klientovi jedinečné. Služba NetWorker Authentication vytvoří jeden výchozí název nájemce Default, který obsahuje výchozí doménu. Vytvoření více nájemců vám pomůže se správou složitých konfigurací. Poskytovatelé služeb s omezenými datovými zónami (RDZ) mohou například vytvořit více klientů a poskytovat izolované služby ochrany dat uživatelům nájemce. |
Doména | celý název domény včetně všech hodnot řadiče domény; např.: example.com |
Dn uživatele | Určuje celý rozlišující název (DN) uživatelského účtu, který má plný přístup pro čtení k adresáři AD. |
Uživatelské heslo DN | Určuje heslo uživatelského účtu, které se používá k přístupu a čtení služby AD direct. |
Třída objektu skupiny | Požadované. Třída objektu, která identifikuje skupiny v hierarchii LDAP nebo AD. ● U protokolu LDAP použijte příkaz groupOfUnjmenNames nebo groupOfNames. ● Ve službě AD použijte skupinu. |
Cesta hledání skupiny (volitelná) | Dn, který určuje cestu vyhledávání, kterou by měla ověřovací služba použít při vyhledávání skupin v hierarchii LDAP nebo AD. |
Atribut Group Name | Atribut, který identifikuje název skupiny. Například cn. |
Atribut člena skupiny | Členství ve skupině uživatele ve skupině. ● U protokolu LDAP: 2 Když je třída objektu skupiny groupOfNames , je atribut běžně členem. aspx Když je třída objektu skupiny groupOfUnnnNames , atribut je běžně jedinečný. ● V případě ad je hodnota běžně členem. |
Uživatelská třída objektu | Třída objektu, která identifikuje uživatele v hierarchii LDAP nebo AD. Například osoba. |
Cesta k vyhledávání uživatele (volitelná) | DN, který určuje cestu vyhledávání, kterou by měla ověřovací služba použít při vyhledávání uživatelů v hierarchii LDAP nebo AD. Zadejte cestu vyhledávání vzhledem k základnímu DN, který jste zadali v možnosti configserver-address. Například pro službu AD specifikujte cn=users. |
Atribut User ID | ID uživatele, které je spojeno s objektem uživatele v hierarchii LDAP nebo AD. U protokolu LDAP se tento atribut běžně používá jako uid. Pro službu AD je tento atribut běžně sAMAccountName. |
8. V nabídce Server->User Groups upravte skupiny uživatelů, které obsahují práva, která chcete delegovat do skupin AD/LDAP nebo uživatelů. Chcete-li například udělit úplná oprávnění správce, je třeba zadat název DN skupiny/uživatele AD v poli External Roles v rolích Application Administrators a Security Administrators.
Např.: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Po zadání skupiny AD nebo uživatelských sítí DNs klikněte na tlačítko Uložit.
10. Odhlaste se z rozhraní NWUI a přihlaste se zpět pomocí účtu AD:
11. Ikona uživatele v pravém horním rohu označuje, ke kterému uživatelskému účtu jste přihlášeni.
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Např.:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...