Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)

Summary: Denne KB-en inneholder informasjon om prosessen som kreves for å konfigurere «AD over SSL» (LDAPS) fra NetWorker Web User Interface (NWUI). Alternativet for å konfigurere eksterne myndighetsrepositorier fra NWUI ble gjort tilgjengelig i NetWorker 19.6.x og nyere. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

For å kunne konfigurere en SSL-tilkobling for godkjenning må rot-CA (eller CA-kjeden når den brukes) importeres til cacerts-filen som brukes av NetWorkers godkjenningsprosess.

Konfigurere AUTHC til å bruke SSL

1) Åpne en administrator-/rotkommando i Java Bin-katalogen.
  • Hvis du bruker NetWorker Runtime Environment (NRE) for AUTHC-serverens Java-forekomst, er plasseringen:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Programfiler\NRE\java\jrex. x. x_xxx\bin
  • Hvis du bruker Oracle Java, kan filbanen variere avhengig av plasseringen som er installert, og Java-versjonen som brukes. 
2, a) Vise en liste over gjeldende klarerte sertifikater i Trust Store.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Standardpassordet for lagerpasset er changeit.
  • På Windows-servere kjøres keytool-kommandoen fra Java Bin-katalogen, men ser omtrent slik ut:
    • keytool -list -keystore .. \lib\security\cacerts -storepass changeit
2, b) Se gjennom listen etter et alias som samsvarer med LDAPS-serveren (dette finnes kanskje ikke). Du kan bruke kommandoene grep eller findstr for operativsystemet med kommandoen ovenfor for å begrense søket. Hvis det finnes et utdatert eller eksisterende CA-sertifikat fra LDAPS-serveren, sletter du det med følgende kommando:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Erstatt ALIAS_NAME med aliasnavnet til LDAPS-serveren som ble samlet inn fra utdataene i 2, a.
3, a) Bruk OpenSSL-verktøyet til å hente en kopi av CA-sertifikatet fra LDAPS-serveren.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Som standard inkluderer ikke Windows-verter opensl-programmet. Hvis det ikke er mulig å installere OpenSSL på NetWorker-serveren, kan sertifikatene eksporteres direkte fra LDAPS-serveren. Det anbefales imidlertid på det sterkeste å bruke OpenSSL-verktøyet. 
  • Linux leveres vanligvis med opensl installert. Hvis du har Linux-servere i miljøet, kan du bruke openssl der for å samle inn/opprette sertifikatfilene. Disse kan kopieres til og brukes på Windows-godkjenningsserveren.
  • Hvis du ikke har OpenSSL, og den ikke kan installeres, kan AD-administratoren oppgi ett eller flere sertifikater ved å eksportere dem som basis-64-kodet x.509-format.
  • Bytt ut LDAPS_SERVER med vertsnavnet eller IP-adressen til LDAPS-serveren.

3, b) Kommandoen ovenfor sender CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks.
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
MERK: Hvis det finnes en kjede av sertifikater, er det siste sertifikatet CA-sertifikatet. Du må importere hvert sertifikat i kjeden i rekkefølge (ovenfra og ned) og avslutte med CA-sertifikatet.
 
3, c) Kopier sertifikatet fra ---BEGIN-SERTIFIKAT--- og slutt med ---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.

4) Importer sertifikatene eller sertifikatene som er opprettet i 3, c til JAVA Trust-nøkkellageret:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Bytt ut ALIAS_NAME med et alias for det importerte sertifikatet. Dette er vanligvis navnet på LDAPS-serveren. Når du importerer flere sertifikater for en sertifikatkjede, må hvert sertifikat ha et annet ALIAS-navn og importeres separat. Sertifikatkjeden må også importeres i rekkefølge fra trinn 3, a (ovenfra og ned).
  • Erstatt PATH_TO\CERT_FILE med plasseringen av sertfilen du opprettet i trinn 3, c.
Du blir bedt om å importere sertifikatet, skrive ja og trykke på Enter.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

MERK: Pipe (|) the operating system grep or findstr command to the above to narrow the result (Pipe (|) operativsystemet grep- eller findstr-kommandoen til ovennevnte for å begrense resultatet. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Start NetWorker-servertjenestene på nytt
 
Linux: nsr_shutdown-tjenestenettverk
starter

Windows: net stop nsrd
net start nsrd

 
MERK: Hvis NetWorker-servertjenestene ikke startes på nytt, vil ikke authc lese cacerts-filen, og den vil ikke oppdage de importerte sertifikatene som kreves for å etablere SSL-kommunikasjon med LDAP-serveren.

 

Opprette en ekstern AD over SSL-ressurs fra NWUI

1. Gå til NWUI-serveren fra en nettleser:
https://nwui-server-name:9090/nwui2. Logg på med NetWorker Administrator-kontoen.
3. Utvid godkjenningsserveren fra menyen, og klikk på External Authorities (Eksterne myndigheter).
4. Fra eksterne myndigheter klikker du på Legg til+.
5. Fyll ut konfigurasjonsfeltene:

Grunnleggende konfigurasjon:
Feltet Value
Navn Et beskrivende navn uten mellomrom for LDAP- eller AD-konfigurasjonen. Maksimalt antall tegn er 256. Angi kun ASCII-tegn i konfigurasjonsnavnet.
Servertype AD over SSL
Leverandørservernavn  Angir vertsnavnet eller IP-adressen til Active Directory-serveren
Port Port 636 brukes for SSL. Dette feltet skal fylles ut automatisk hvis AD over SSL er valgt.
Leietaker Velg leietakeren hvis den er konfigurert. Hvis ingen leietaker er konfigurert eller nødvendig, kan du bruke standardinnstillingen. 
Konfigurering av en leietaker krever følgende påloggingssyntaks «tenant_name\domain_name\user_name». Hvis standardleietakeren brukes (vanlig), er påloggingssyntaksen «domain_name\user_name». 

Leietaker – organisasjonsbeholder på øverste nivå for NetWorker Authentication Service. Hver eksterne godkjenningsinstans i den lokale databasen er tilordnet en leietaker. En leietaker kan inneholde ett eller flere domener, men domenenavnene må være unike i leietakeren. NetWorker Authentication Service oppretter ett innebygd leietakernavn, som inneholder standarddomenet. Oppretting av flere leietakere hjelper deg med å administrere komplekse konfigurasjoner. Tjenesteleverandører med begrensede datasoner (RDZ) kan for eksempel opprette flere leietakere for å gi isolerte databeskyttelsestjenester til leietakerbrukere.
Domene Det fullstendige domenenavnet, inkludert alle DC-verdier, for eksempel: example.com
Bruker-DN Angir det fullstendige navnet (DN) til en brukerkonto som har full lesetilgang til AD-katalogen.
Bruker-DN-passord Angir passordet til brukerkontoen som brukes til å få tilgang til og lese AD direkte
 
Avansert konfigurasjon:
Gruppeobjektklasse Nødvendig. Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet.
} For LDAP bruker du groupOfUniqueNames eller
groupOfNames.
| For AD bruker du gruppe.
Gruppesøkebane (ekstrautstyr) Et DN som angir søkebanen som godkjenningstjenesten skal bruke når du søker etter grupper i LDAP- eller AD-hierarkiet.
Attributt for gruppenavn Attributtet som identifiserer gruppenavnet. For eksempel cn.
Gruppemedlemsattributtet Gruppemedlemskapet til brukeren
i en gruppe.
For LDAP:
○ Når gruppeobjektklassen er groupOfNames , er attributtet vanligvis medlem.
○ Når gruppeobjektklassen er groupOfUniqueNames , er attributtet vanligvis unikt.
| For AD er verdien ofte medlem.
Brukerobjektklasse Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet. For eksempel person.
Brukersøkebane (ekstrautstyr) DN som angir søkebanen som godkjenningstjenesten skal bruke når du søker etter brukere i LDAP- eller AD-hierarkiet. Angi en søkebane som er relativ til den grunnleggende DN-en som du har angitt i alternativet configserver-address (konfigurasjonsserver-adresse). For eksempel, for AD, angir du cn=users.
Bruker-ID-attributt Bruker-ID-en som er tilknyttet brukerobjektet i LDAP- eller AD-hierarkiet.
For LDAP er dette attributtet vanligvis uid.
For AD er dette attributtet vanligvis sAMAccountName.

 

MERK: Kontakt AD/LDAP-administratoren for å bekrefte hvilke AD/LDAP-spesifikke felt som er nødvendige for miljøet ditt.

6. Når du er ferdig, klikker du på Save (Lagre).
7. Et sammendrag av den konfigurerte eksterne myndighetsressursen skal nå vises:

 

Eksempel på konfigurert AD over SSL-ressurs i NWUI External Authority-vinduet

8. Rediger brukergruppene som inneholder rettighetene du vil delegere til AD/LDAP-grupper eller -brukere, fra menyen Server->User Groups (Server->grupper). Hvis du for eksempel vil gi fullstendige administratorrettigheter, må AD-gruppen/bruker-DN spesifiseres i feltet Eksterne roller i applikasjonsadministratorer og sikkerhetsadministratorroller.

F.eks: CN= NetWorker_Admins,CN=Users,DC=emclab,DC=localApplikasjonsadministratorer

9. Når AD-gruppen og/eller bruker-DC-ene er angitt, klikker du på Save (Lagre). 
10. Logg deg av NWUI-grensesnittet, og logg på igjen ved hjelp av AD-kontoen:

NWUI AD-påloggingseksempel

11. Brukerikonet øverst i høyre hjørne angir hvilken brukerkonto som er logget på.

Additional Information

Du kan bruke kommandoen authc_mgmt på NetWorker-serveren for å bekrefte at AD/LDAP-gruppene/brukerne er synlige:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
F.eks:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
MERK: På noen systemer kan det hende at authc-kommandoene mislykkes med feil passordfeil, selv når det riktige passordet er angitt. Dette skyldes at passordet er angitt som synlig tekst med alternativet "-p". Hvis du støter på dette, fjerner du «-p password» fra kommandoene. Du blir bedt om å angi passordet skjult etter at du har kjørt kommandoen.


Andre ressurser:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.