Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: AD over SSL:n (LDAPS) määrittäminen NetWorker-verkkokäyttöliittymässä (NWUI)

Summary: Tässä tietämyskannan artikkelissa kerrotaan, miten AD over SSL (LDAPS) määritetään NetWorkerin verkkokäyttöliittymässä (NWUI). NWUI:n ulkoisten varmennussäilöjen määritysvaihtoehto oli käytettävissä NetWorker 19.6.x -versiossa ja sitä uudemmissa versioissa. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Jotta SSL-yhteys voidaan määrittää todennusta varten, pääkäyttäjän (tai käytettävän varmenteen myöntäjäketjun) on tuotava Cacerts-tiedostoon, jota NetWorkerin authc-prosessi käyttää.

AUTHC:n määrittäminen käyttämään SSL:ää

1) Avaa komentokehote järjestelmänvalvojana tai pääkäyttäjänä Java-bin-hakemistossa.
  • Jos käytät NetWorker Runtime Environment (NRE) -ympäristöä AUTHC-palvelimen Java-esiintymässä, sijainti on:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program Files\NRE\java\jrex. x.x_xxx\bin
  • Jos käytät Oracle Javaa, tiedostopolku voi vaihdella asennetun sijainnin ja käytetyn Java-version mukaan. 
2, a) Näyttää luettelon luottamussäilön nykyisistä luotetuista varmenteista. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Säilön oletussalasana on changeit.
  • Windows-palvelimissa keytool-komento suoritettaisiin Java-bin-hakemistosta, mutta se voi olla esimerkiksi:
    • keytool -list -keystore .. \lib\security\cacerts -storepass changeit
2, b) Tarkista luettelosta LDAPS-palvelinta vastaava alias (tätä ei ehkä ole). Voit tarkentaa hakua käyttämällä edellä mainitulla komennolla käyttöjärjestelmän grep- tai findstr-komentoja. Jos LDAPS-palvelimessa on vanhentunut tai aiemmin luotu varmenteen myöntäjä, poista se seuraavalla komennolla: 
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Korvaa ALIAS_NAME tuloksesta haetun LDAPS-palvelimen aliasnimellä.
3, a) Hae varmenteen myöntäjän varmenne OpenSSL-työkalulla LDAPS-palvelimesta. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Windows-isäntäkoneet eivät oletusarvoisesti sisällä avaamisohjelmaa. Jos OpenSSL:ää ei voi asentaa NetWorker-palvelimeen, varmenteet voidaan viedä suoraan LDAPS-palvelimesta. OpenSSL-apuohjelmaa suositellaan kuitenkin erittäin paljon. 
  • Linuxin mukana toimitetaan tavallisesti opensl asennettuna. Jos ympäristössä on Linux-palvelimia, voit kerätä/luoda varmennetiedostoja sen avulla. Niitä voi kopioida Windows authc -palvelimeen ja käyttää niissä.
  • Jos OpenSSL ei ole käytettävissä ja sitä ei voi asentaa, pyydä AD-järjestelmänvalvojaa toimittamaan vähintään yksi varmenne viemällä ne Base-64-koodattuna x.509-muodossa.
  • Korvaa LDAPS_SERVER LDAPS-palvelimen isäntänimellä tai IP-osoitteella.

3, b) Yllä oleva komento näyttää CA-varmenteen tai PEM-muotoisen varmenneketjun, kuten: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
HUOMAUTUS: Jos varmenteita on ketjussa, ca-varmenne on viimeinen varmenne. Tuo kaikki ketjun varmenteet järjestyksessä (yläreunassa), joka päättyy VARmenteiden myöntäjän varmenteeseen.
 
3, c) Kopioi varmenne alkaen ---BEGIN CERTIFICATE--- -sertifikaatista ja päättyy ---END CERTIFICATE--- ja liitä se uuteen tiedostoon. Jos varmenneketju on käytössä, se on tehtävä jokaisen varmenteen yhteydessä.

4) Tuo 3. c-kohdassa luodut varmenteet JAVA-luottamusavaintentoreen: 
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Korvaa ALIAS_NAME tuodun varmenteen aliaksilla. Tämä on tavallisesti LDAPS-palvelimen nimi. Kun useita varmenteita tuodaan varmenneketjua varten, kullakin varmenteella on oltava eri ALIAS-nimi ja ne on tuotava erikseen. Myös varmenneketju on tuotava järjestyksessä vaiheesta 3 (ylhäältä alaspäin).
  • Korvaa PATH_TO\CERT_FILE vaiheessa 3 c luodun varmennetiedoston sijainnilla.
Saat kehotteen tuoda varmenne, kirjoita kyllä ja paina Enter-näppäintä. 
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
HUOMAUTUS: Rajaa tulosta pystyviivalla (|) käyttöjärjestelmän grep- tai findstr-komennolla edellä olevaan komentoon.  
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Käynnistä NetWorker-palvelinpalvelut uudelleen
 
Linux: nsr_shutdown
service networker käynnistää
Windowsin: net stop nsrd
net start nsrd
 
HUOMAUTUS: Jos NetWorker-palvelinpalveluja ei käynnistetä uudelleen, authc ei lue cacerts-tiedostoa eikä tunnista tuotuja varmenteita, joita tarvitaan SSL-tiedonsiirron luomiseen LDAP-palvelimen kanssa.

 

Ulkoisen tahon AD over SSL -resurssin luominen NWUI:sta

1. Siirry selaimessa NWUI-palvelimeen:
https://nwui-server-name:9090/nwui2. Kirjaudu sisään NetWorker Administrator -tilillä.
3. Laajenna Authentication Server (Todennuspalvelin) -valikko ja valitse External Authorities (Ulkoiset varmennuspalvelimet).
4. Valitse Ulkoiset tahot -kohdassa Add+.
5. Täytä määrityskentät:

Peruskokoonpano:
Kenttä Arvo
Nimi Kuvaava nimi ilman välejä LDAP- tai AD-määritykselle. Merkkien enimmäismäärä on 256. Määritä ASCII-merkit vain kokoonpanonimessä.
Palvelimen tyyppi AD over SSL
Provider Server Name  Määrittää Active Directory -palvelimen isäntänimen tai IP-osoitteen.
Portti Porttia 636 käytetään SSL:n kanssa. Tämä kenttä täytetään automaattisesti, jos AD over SSL on valittu.
Vuokralainen Valitse vuokralainen, jos sellainen on määritetty. Jos vuokraajaa ei ole määritetty tai sitä ei tarvita, voit käyttää oletusasetusta. 
Vuokraajan määrittämiseen tarvitaan seuraava kirjautumissyntaksi tenant_name\domain_name\user_name. Jos oletusvuokraaja on käytössä (yleinen), kirjautumisen syntaksi on domain_name\user_name. 

Vuokralainen: NetWorker Authentication Servicen ylimmän tason organisaatiosäilö. Kullekin paikallisen tietokannan ulkoiselle todennuksen varmennukselle on määritetty vuokralainen. Vuokraajassa voi olla vähintään yksi toimialue, mutta toimialuenimien on oltava yksilöllisiä vuokraajassa. NetWorker Authentication Service luo yhden sisäänrakennetun vuokraajan nimen Default, joka sisältää oletustoimialueen. Useiden vuokralaisten luominen helpottaa monimutkaisten määritysten hallintaa. Esimerkiksi palveluntarjoajat, joilla on rajoitetut tietovyöhykkeet (RDZ), voivat luoda useita vuokraajia tarjoamaan eristettyjä tietosuojapalveluja vuokraajan käyttäjille.
Domain Koko toimialueen nimi, mukaan lukien kaikki toimialueen ohjauskoneen arvot esim. example.com
Käyttäjän DN Määrittää sen käyttäjätilin täydellisen DN-nimen, jolla on täydet luku oikeudet AD-hakemistoon.
Käyttäjän DN-salasana Määrittää sen käyttäjätilin salasanan, jolla AD direct avataan ja luetaan
 
Lisämääritykset:
Ryhmäobjektiluokka Tarvitaan. Objektiluokka, joka tunnistaa LDAP- tai AD-hierarkian ryhmiä.
● Käytä LDAP:ssa groupOfUnldaNames - tai
GroupOfNames-nimeä.
● Käytä AD:lle ryhmää.
Ryhmähakupolku (valinnainen) DN, joka määrittää hakupolun, jota todennuspalvelun on käytettävä haettaessa LDAP- tai AD-hierarkian ryhmiä.
Ryhmän nimimäärite Määritteen, joka ilmaisee ryhmän nimen. esimerkki: cn.
Ryhmän jäsenmäärite Ryhmän käyttäjän
ryhmäjäsenyys.
● LDAP:
4 Kun Group Object Class on GroupOfNames , määrite on yleisesti jäsen.
4 Kun Group Object Class on GroupOfUn¹Names - määrite, määritteen numero on yleisesti yksilöllinen.
● AD:n arvo on yleisesti jäsen.
User Object Class Objektiluokka, joka tunnistaa käyttäjät LDAP- tai AD-hierarkiassa. esimerkiksi henkilö.
Käyttäjähakupolku (valinnainen) DN, joka määrittää hakupolun, jota todennuspalvelun on käytettävä etsiessään käyttäjiä LDAP- tai AD-hierarkiasta. Määritä hakupolku, joka vastaa configserver-address-valinnassa määrittämääsi perustason DN-polkua. Määritä esimerkiksi AD:lle cn=users.
Käyttäjätunnusmäärite Käyttäjätunnus, joka liittyy käyttäjäobjektiin LDAP- tai AD-hierarkiassa.
LDAP:tä varten tämä määrite on yleisesti uidoitu.
AD:n määritteen nimi on yleisesti sAMAccountName.

 

HUOMAUTUS: Pyydä AD-/LDAP-järjestelmänvalvojaa tarkistamaan, mitkä AD- tai LDAP-kentät tarvitaan ympäristöösi.

6. Kun olet valmis, valitse Tallenna.
7. Näyttöön pitäisi tulla yhteenveto määritetystä ulkoisen myöntäjän resurssista:

 

Esimerkki määritetystä AD over SSL -resurssista NWUI External Authority -ikkunassa

8. Server->User Groups -valikossa voit muokata käyttäjäryhmiä, jotka sisältävät oikeudet, jotka haluat siirtää AD-/LDAP-ryhmille tai -käyttäjille. Jos esimerkiksi haluat myöntää täydet järjestelmänvalvojan oikeudet, AD-ryhmän/käyttäjän DN on määritettävä Application Administrators and Security Administrators -roolien External Roles -kentässä.

Esim: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=localSovellusten järjestelmänvalvojat

9. Kun olet määrittänyt AD-ryhmän ja/tai käyttäjän DN-nimet, valitse Tallenna. 
10. Kirjaudu ulos NWUI-käyttöliittymästä ja kirjaudu takaisin sisään AD-tilillä:

Esimerkki NWUI AD -kirjautumisesta

11. Oikeassa yläkulmassa oleva käyttäjäkuvake osoittaa, mikä käyttäjätili on kirjautunut sisään.

Additional Information

Voit vahvistaa NetWorker-palvelimen authc_mgmt-komennolla, että AD-/LDAP-ryhmät/-käyttäjät näkyvät: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Esim:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
HUOMAUTUS: Joissakin järjestelmissä authc-komennot saattavat epäonnistua ja näyttää virheellisen salasanan virheen, vaikka oikea salasana on annettu. Tämä johtuu siitä, että salasana määritetään näkyväksi tekstiksi ja valitaan -p. Jos näet tämän, poista komentojen -p-salasana. Saat kehotteen kirjoittaa piilotettu salasana komennon suorittamisen jälkeen.


Lisäresurssit:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series