NetWorker: NWUI(NetWorker Web User Interface)에서 "AD over SSL"(LDAPS)을 구성하는 방법

인증을 위해 SSL 연결을 구성하려면 NetWorker의 인증 프로세스에서 사용되는 cacerts 파일로 루트 CA(또는 CA 체인 사용 시)를 가져와야 합니다.

SSL을 사용하도록 AUTHC 구성

1) Java bin 디렉토리에서 관리/루트 명령 프롬프트를 엽니다.

• AUTHC 서버의 Java 인스턴스에 NRE(NetWorker Runtime Environment)를 사용하는 경우 위치는 다음과 같습니다.
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
• Oracle Java를 사용하는 경우 파일 경로는 설치된 위치와 사용된 Java 버전에 따라 다를 수 있습니다. 

2) a) 신뢰 저장소에 현재 신뢰할 수 있는 인증서 목록을 표시합니다.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• storepass의 기본 암호는changeit입니다 .
• Windows 서버에서 keytool 명령은 Java bin 디렉토리에서 실행되지만 다음과 같이 표시됩니다.
  • keytool -list -keystore .. \lib\security\cacerts -storepass changeit

2, b) LDAPS 서버와 일치하는 별칭 목록을 검토합니다(존재하지 않을 수 있음). 위의 명령과 함께 운영 체제 grep 또는 findstr 명령을 사용하여 검색 범위를 좁힐 수 있습니다. LDAPS 서버에서 오래되었거나 기존 CA 인증서가 있는 경우 다음 명령을 사용하여 삭제합니다.

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• 출력에서 수집된 LDAPS 서버의 별칭 이름으로 ALIAS_NAME 2, a.

3, a) OpenSSL 툴을 사용하여 LDAPS 서버에서 CA 인증서의 사본을 가져옵니다.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• 기본적으로 Windows 호스트에는 opensl 프로그램이 포함되지 않습니다. NetWorker 서버에 OpenSSL을 설치할 수 없는 경우 인증서를 LDAPS 서버에서 직접 내보낼 수 있습니다. 그러나 OpenSSL 유틸리티를 사용하는 것이 좋습니다. 
• Linux는 일반적으로 설치되어 있는 opensl과 함께 제공됩니다. 환경에 Linux 서버가 있는 경우 opensl을 사용하여 인증서 파일을 수집/생성할 수 있습니다. 이러한 복제본은 Windows 인증 서버에서 복사하여 사용할 수 있습니다.
• OpenSSL이 없고 설치할 수 없는 경우 AD 관리자가 하나 이상의 인증서를 Base-64 인코딩 x.509 형식으로 내보냄으로써 인증서를 하나 이상 제공합니다.
• LDAPS_SERVER LDAPS 서버의 호스트 이름 또는 IP 주소로 교체합니다.

3, b) 위의 명령은 CA 인증서 또는 인증서 체인을 PEM 형식으로 출력합니다(예:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) 인증서를 ---BEGIN 인증서---부터 ---END CERTIFICATE---로 복사하여 새 파일에 붙여 넣습니다. 인증서 체인이 있는 경우 각 인증서를 사용하여 이 작업을 수행해야 합니다.

4) 3, c에서 생성된 인증서 또는 인증서를 JAVA 신뢰 키 저장소로 가져옵니다.

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• 가져온 인증서의 별칭으로 ALIAS_NAME 교체합니다. 일반적으로 LDAPS 서버 이름입니다. 인증서 체인에 대해 여러 인증서를 가져올 때 각 인증서에는 다른 ALIAS 이름이 있어야 하며 별도로 가져와야 합니다. 인증서 체인도 3단계(하향)에서 순서대로 가져와야 합니다.
• PATH_TO\CERT_FILE 3단계 c에서 생성한 인증서 파일의 위치로 교체합니다.

인증서를 가져오고 yes를 입력하고 Enter 키를 눌러야 합니다.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) NetWorker 서버 서비스를 재시작합니다. 
 
Linux: nsr_shutdown
서비스 네트워킹이 Windows를 시작
합니다. net stop nsrd
net start nsrd
 

 

NWUI에서 "SSL을 통한 AD" 외부 권한 리소스 생성

1. 웹 브라우저에서 NWUI 서버에 액세스합니다.
https://nwui-server-name:9090/nwui2. NetWorker Administrator 계정을 사용하여 로그인합니다.
3. 메뉴에서 Authentication Server를 확장하고 External Authorities를 클릭합니다.
4. 외부 기관에서 Add+를 클릭합니다.
5. 구성 필드를 입력합니다.

기본 구성:

필드	값
이름	LDAP 또는 AD 구성을 위한 공백이 없는 설명 이름입니다. 최대 문자 수는 256자입니다. 구성 이름에만 ASCII 문자를 지정합니다.
서버 유형	SSL을 통한 AD
공급업체 서버 이름	Active Directory Server의 호스트 이름 또는 IP 주소를 지정합니다.
포트	포트 636은 SSL에 사용됩니다. "AD over SSL"이 선택된 경우 이 필드가 자동으로 채워집니다.
테 넌 트	구성된 경우 테넌트를 선택합니다. 테넌트 구성 또는 필수 사항이 없는 경우 "default"를 사용할 수 있습니다.  테넌트 구성에는 "tenant_name\domain_name\user_name"라는 로그인 구문이 필요합니다. 기본 테넌트(일반)를 사용하는 경우 로그인 구문은 "domain_name\user_name"입니다.  테넌트 - NetWorker 인증 서비스를 위한 최상위 조직 컨테이너입니다. 로컬 데이터베이스의 각 외부 인증 기관이 테넌트에게 할당됩니다. 테넌트는 하나 이상의 도메인을 포함할 수 있지만 도메인 이름은 테넌트 내에서 고유해야 합니다. NetWorker Authentication Service는 기본 도메인을 포함하는 기본 제공 테넌트 이름 기본값을 생성합니다. 여러 테넌트 생성을 통해 복잡한 구성을 관리할 수 있습니다. 예를 들어 RDZ(DataZone)가 제한된 서비스 공급업체는 여러 테넌트 생성을 통해 테넌트 사용자에게 격리된 데이터 보호 서비스를 제공할 수 있습니다.
Domain	모든 DC 값을 포함한 전체 도메인 이름 예: example.com
User DN	AD 디렉토리에 대한 전체 읽기 액세스 권한이 있는 사용자 계정의 전체 DN(Distinguished Name)을 지정합니다.
User DN Password	AD Direct에 액세스하고 읽는 데 사용되는 사용자 계정의 암호를 지정합니다.

 

고급 구성:

그룹 객체 클래스	필수. LDAP 또는 AD 계층 구조의 그룹을 식별하는 오브젝트 클래스입니다. ● LDAP의 경우 groupOfUniqueNames 또는 groupOfNames를 사용합니다. ● AD의 경우 그룹을 사용합니다.
그룹 검색 경로(선택 사항)	LDAP 또는 AD 계층 구조에서 그룹을 검색할 때 인증 서비스가 사용해야 하는 검색 경로를 지정하는 DN입니다.
그룹 이름 속성	그룹 이름을 식별하는 속성입니다. 예: cn.
그룹 구성원 특성	그룹 내 사용자의 그룹 구성원입니다. ● LDAP의 경우: 1 그룹 객체 클래스가 groupOfNames 인 경우 속성은 일반적으로 구성원입니다. 1 그룹 객체 클래스가 groupOfUniqueNames 인 경우 특성은 일반적으로 고유 메모리입니다. ● AD의 경우 값은 일반적으로 구성원입니다.
사용자 객체 클래스	LDAP 또는 AD 계층 구조에서 사용자를 식별하는 오브젝트 클래스입니다. 예를 들어 사람입니다.
사용자 검색 경로(선택 사항)	인증 서비스가 LDAP 또는 AD 계층 구조에서 사용자를 검색할 때 사용해야 하는 검색 경로를 지정하는 DN입니다. configserver-address 옵션에서 지정한 기본 DN과 상대적인 검색 경로를 지정합니다. 예를 들어 AD의 경우 cn=users를 지정합니다.
사용자 ID 속성	LDAP 또는 AD 계층 구조의 사용자 객체와 연결된 사용자 ID입니다. LDAP의 경우 이 속성은 일반적으로 uid입니다. AD의 경우 이 속성은 일반적으로 sAMAccountName입니다.

 

6. 완료되면 저장을 클릭합니다.
7. 이제 구성된 외부 기관 리소스에 대한 요약이 나타납니다.

 

8. Server->User Groups 메뉴에서 AD/LDAP 그룹 또는 사용자에게 위임할 권한이 포함된 사용자 그룹을 편집합니다. 예를 들어 전체 관리자 권한을 부여하려면 AD 그룹/사용자 DN을 애플리케이션 관리자 및 보안 관리자 역할의 외부 역할 필드에 지정해야 합니다.

예: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local

9. AD 그룹 및/또는 사용자 DN이 지정되면 Save를 클릭합니다. 
10. NWUI 인터페이스에서 로그아웃하고 AD 계정을 사용하여 다시 로그인합니다.

11. 오른쪽 상단 모서리에 있는 사용자 아이콘은 로그인한 사용자 계정을 나타냅니다.

NetWorker 서버에서 authc_mgmt 명령을 사용하여 AD/LDAP 그룹/사용자가 표시되는지 확인할 수 있습니다.

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

예:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

추가 자료:

• NetWorker: authc_config 스크립트를 사용하여 LDAP/AD를 설정하는 방법
• NetWorker: AD/LDAP 인증을 설정하는 방법
• NetWorker: 관리자 암호를 재설정하는 방법