NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
Summary: В этой статье базы знаний подробно описан процесс настройки «AD over SSL» (LDAPS) из веб-интерфейса NetWorker (NWUI). Параметр настройки внешних репозиториев полномочий из NWUI был доступен в NetWorker 19.6.x и более поздних версиях. ...
This article applies to
This article does not apply to
Instructions
Чтобы настроить SSL-соединение для аутентификации, корневой ЦС (или цепочка ЦС при использовании) необходимо импортировать в файл cacerts, используемый процессом аутентификации NetWorker.
3, b) Приведенная выше команда выводит сертификат ЦС или цепочку сертификатов в формате PEM, например:
3, c) Скопируйте сертификат, начиная с ---BEGIN CERTIFICATE--- и заканчивающийся на ---END CERTIFICATE--- и вставьте его в новый файл. При наличии цепочки сертификатов это необходимо сделать с каждым сертификатом.
4) Импортируйте сертификат или сертификаты, созданные в 3, c, в хранилище ключей доверия JAVA:
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
6. По завершении нажмите кнопку «Save».
7. Теперь должно появиться сводка настроенного внешнего ресурса управления:
Настройка AUTHC для использования SSL
1) Откройте командную строку администратора/корневого пользователя в каталоге Java bin.- Если вы используете NetWorker Runtime Environment (NRE) для экземпляра Java сервера AUTHC, местонахождение:
- Linux: /opt/nre/java/latest/bin/
- Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
- При использовании Oracle Java путь к файлу может отличаться в зависимости от места установки и используемой версии Java.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Пароль по умолчанию для storepass — changeit.
- На серверах Windows команда keytool будет выполняться из каталога Java bin, но будет выглядеть так:
- keytool -list -keystore .. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Замените ALIAS_NAME псевдонимом сервера LDAPS, собранным из выходных данных в 2, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- По умолчанию хосты Windows не включают программу openssl. Если установить OpenSSL на сервере NetWorker невозможно, сертификаты можно экспортировать непосредственно с сервера LDAPS. однако настоятельно рекомендуется использовать утилиту OpenSSL.
- Linux обычно поставляется с установленным файлом openssl. Если в среде имеются серверы Linux, можно использовать файл openssl для сбора/создания файлов сертификатов. Их можно скопировать на сервер authc Windows и использовать на этом сервере.
- Если у вас нет OpenSSL и его нельзя установить, администратор AD предоставит один или несколько сертификатов, экспортив их в формате x.509, закодированного в Base-64.
- Замените LDAPS_SERVER на имя хоста или IP-адрес сервера LDAPS.
3, b) Приведенная выше команда выводит сертификат ЦС или цепочку сертификатов в формате PEM, например:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
ПРИМЕЧАНИЕ. При наличии цепочки сертификатов последний сертификат — это сертификат ЦС. Необходимо импортировать каждый сертификат в цепочке, чтобы (сверху вниз), заканчивающийся сертификатом ЦС.
3, c) Скопируйте сертификат, начиная с ---BEGIN CERTIFICATE--- и заканчивающийся на ---END CERTIFICATE--- и вставьте его в новый файл. При наличии цепочки сертификатов это необходимо сделать с каждым сертификатом.
4) Импортируйте сертификат или сертификаты, созданные в 3, c, в хранилище ключей доверия JAVA:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Замените ALIAS_NAME псевдонимом для импорт доступного сертификата. Обычно это имя сервера LDAPS. При импорте нескольких сертификатов для цепочки сертификатов каждый сертификат должен иметь другое имя ALIAS и импортироваться отдельно. Цепочку сертификатов также необходимо импортировать в порядке, указанном в шаге 3 a (сверху вниз).
- Замените PATH_TO\CERT_FILE местоположением файла сертификата, созданного на шаге 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
ПРИМЕЧАНИЕ. Выполните командуgrep или findstr операционной системы в указанном выше канале (|), чтобы сузить рамку результата.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Перезапустите службы сервера NetWorker.
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
ПРИМЕЧАНИЕ. Если серверные службы NetWorker не перезапущены, authc не будет считывать файл cacerts и не обнаружит импортированные сертификаты, необходимые для установления связи SSL с сервером LDAP.
Создание внешнего ресурса полномочий «AD over SSL» из NWUI
1. В веб-браузере перейдите к серверу NWUI:
https://nwui-server-name:9090/nwui2. Войдите в систему с помощью учетной записи администратора NetWorker.
3. В меню разверните пункт Сервер аутентификации и нажмите Внешние центры.
4. В окне Внешние органы нажмите Add+.
5. Заполните поля конфигурации:
| Поле | Значение |
| Имя | Описательный имя без пробелов для конфигурации LDAP или AD. Максимальное количество символов — 256. Укажите символы ASCII только в имени конфигурации. |
| Тип сервера | AD через SSL |
| Имя сервера поставщика | Указывает имя хоста или IP-адрес сервера Active Directory |
| Порт | Порт 636 используется для SSL, это поле должно заполняться автоматически, если выбран параметр «AD over SSL». |
| Арендатор | Выберите клиента, если он настроен. Если клиент не настроен или не требуется, можно использовать значение по умолчанию. Для настройки клиента требуется следующий синтаксис входа «tenant_name\domain_name\user_name». Если используется клиент по умолчанию (общий), синтаксис входа будет «domain_name\user_name». Tenant — контейнер верхнего уровня организации для сервиса аутентификации NetWorker. Каждый внешний центр аутентификации в локальной базе данных назначается пользователю. Клиент может содержать один или несколько доменов, но доменные имена должны быть уникальными в пределах клиента. Служба аутентификации NetWorker создает одно встроенное имя клиента По умолчанию, которое содержит домен по умолчанию. Создание нескольких клиентов помогает управлять сложными конфигурациями. Например, поставщики услуг с ограниченными зонами данных (RDZ) могут создать несколько клиентов, чтобы предоставлять изолированные сервисы защиты данных пользователям клиентов. |
| Домен | полное имя домена, включая все значения контроллера домена; Например, example.com |
| Имя пользователя | Указывает полное различающееся имя (DN) учетной записи пользователя с полным доступом для чтения к каталогу AD. |
| Пароль DN пользователя | Задает пароль учетной записи пользователя, которая используется для доступа к AD Direct и чтения |
| Класс объекта группы | Обязательно. Класс объекта, который идентифицирует группы в иерархии LDAP или AD. ● Для LDAP используйте группуOfUniqueNames или groupOfNames. ● Для AD используйте группу. |
| Путь группового поиска (необязательно) | Доменное имя, которое определяет путь поиска, который должен использоваться сервисом аутентификации при поиске групп в иерархии LDAP или AD. |
| Атрибут имени группы | Атрибут, который идентифицирует имя группы. Например, cn. |
| Атрибут члена группы | Членство пользователя в группе. ● Для LDAP: 7 Когда group Object Class имеет значение groupOfNames , атрибут обычно является участником. 7 Когда класс объекта группы имеет значение groupOfUniqueNames , атрибут обычно является уникальным. ● Для AD значение обычно является участником. |
| Класс объекта пользователя | Класс объекта, который идентифицирует пользователей в иерархии LDAP или AD. Например, «person». |
| Путь к пользователю (необязательно) | Доменное имя, которое определяет путь поиска, который должен использоваться сервисом аутентификации при поиске пользователей в иерархии LDAP или AD. Укажите путь поиска относительно базового DN, указанного в параметре configserver-address. Например, для AD укажите cn=users. |
| Атрибут идентификатора пользователя | Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD. Для LDAP этот атрибут обычно является uid. Для AD этот атрибут обычно имеет значение sAMAccountName. |
ПРИМЕЧАНИЕ. Обратитесь к администратору AD/LDAP, чтобы проверить, какие поля AD/LDAP необходимы для вашей среды.
6. По завершении нажмите кнопку «Save».
7. Теперь должно появиться сводка настроенного внешнего ресурса управления:
8. В меню Server->User Groups Измените группы пользователей, содержащие права, которые необходимо делегировать группам AD/LDAP или пользователям. Например, чтобы предоставить полные права администратора, группа AD/DN пользователя должны быть указаны в поле Внешние роли ролей администраторов приложений и администраторов безопасности.
Например, CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. После того как группа AD и/или DNS пользователя заданы, нажмите кнопку Сохранить.
10. Выйдите из интерфейса NWUI и снова войдите в систему с помощью учетной записи AD:
11. Значок пользователя в правом верхнем углу указывает, какая учетная запись пользователя включена.
Additional Information
Можно использовать команду authc_mgmt на сервере NetWorker, чтобы убедиться, что группы/пользователи AD/LDAP отображаются:
Дополнительные ресурсы:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Например,
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМЕЧАНИЕ. В некоторых системах команды authc могут не работать с ошибкой «неверный пароль», даже если задан правильный пароль. Это связано с тем, что пароль указывается как видимый текст с параметром «-p». Если вы столкнулись с этой ошибкой, удалите пароль «-p» из команд. После выполнения команды вам будет предложено ввести скрытый пароль.
Дополнительные ресурсы: