NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Summary: I den här kunskapsdatabasartikeln beskrivs processen som krävs för att konfigurera "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI). Alternativet att konfigurera externa behörighetsdatalager från NWUI gjordes tillgängligt i NetWorker 19.6.x och senare. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
För att konfigurera en SSL-anslutning för autentisering måste rotcertifikatutfärdaren (eller ca-kedjan när den används) importeras till den cacerts-fil som används av NetWorkers auktoriseringsprocess.
3, b) Ovanstående kommando ger ut ca-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
3, c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och slutar med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
4) Importera certifikaten eller certifikaten som skapas i 3, c till NYCKELlagret för JAVA-förtroende:
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
6. När du är klar klickar du på Save.
7. En sammanfattning av den konfigurerade resursen för extern behörighet bör nu visas:
Konfigurera AUTHC för att använda SSL
1) Öppna en kommandotolk för administration/rot i Java-bin-katalogen.- Om du använder NetWorker Runtime Environment (NRE) för AUTHC-serverns Java-instans är platsen:
- Linux: /opt/nre/java/latest/bin/
- Windows: C:\Program\NRE\java\jrex. x. x_xxx\bin
- Om du använder Oracle Java kan filsökvägen variera beroende på platsen som är installerad och vilken Java-version som används.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Standardlösenordet för storepass är changeit.
- På Windows-servrar kördes keytool-kommandot från Java bin-katalogen men skulle se ut ungefär så här:
- keytool -list -keystore.. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Ersätt ALIAS_NAME med aliasnamnet för den LDAPS-server som hämtats från utdata i 2, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Som standard innefattar inte Windows-värdarna OpenSL-programmet. Om det inte går att installera OpenSSL på NetWorker-servern kan certifikaten exporteras direkt från LDAPS-servern. Vi rekommenderar dock starkt att du använder OpenSSL-verktyget.
- Linux levereras vanligtvis med opensl installerat, om du har Linux-servrar i miljön kan du använda openssl där för att samla in/skapa certifikatfilerna. De kan kopieras till och användas på Windows authc-servern.
- Om du inte har OpenSSL och den inte kan installeras får ad-administratören tillhandahålla ett eller flera certifikat genom att exportera dem som Base-64-kodade x.509-format.
- Ersätt LDAPS_SERVER med värdnamnet eller IP-adressen för LDAPS-servern.
3, b) Ovanstående kommando ger ut ca-certifikatet eller en certifikatkedja i PEM-format, t.ex.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Obs! Om det finns en certifikatkedja är det sista certifikatet ca-certifikatet. Du måste importera varje certifikat i kedjan i ordningsföljd (uppifrån och ned) som slutar med certifikatutfärdarcertifikatet.
3, c) Kopiera certifikatet från och med ---BEGIN CERTIFICATE--- och slutar med ---END CERTIFICATE--- och klistra in det i en ny fil. Om det finns en certifikatkedja måste du göra detta med varje certifikat.
4) Importera certifikaten eller certifikaten som skapas i 3, c till NYCKELlagret för JAVA-förtroende:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Ersätt ALIAS_NAME med ett alias för det importerade certifikatet. Vanligtvis är det här LDAPS-serverns namn. När du importerar flera certifikat för en certifikatkedja måste varje certifikat ha ett annat ALIAS-namn och importeras separat. Certifikatkedjan måste också importeras i ordning från steg 3 a (uppifrån och ned).
- Ersätt PATH_TO\CERT_FILE med platsen för certifikatfilen som du skapade i steg 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
Obs! Rör (|) kommandot grep eller findstr för operativsystemet till ovanstående för att begränsa resultatet.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Starta om NetWorker-servertjänsterna.
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
Obs! Om NetWorker-servertjänsterna inte startas om kommer authc inte att läsa cacerts-filen och den identifierar inte de importerade certifikat som krävs för att upprätta SSL-kommunikation med LDAP-servern.
Skapa "AD over SSL" extern behörighetsresurs från NWUI
1. Öppna NWUI-servern i en webbläsare:
https://nwui-server-name:9090/nwui2. Logga in med NetWorker-administratörskontot.
3. Expandera Authentication Server (autentiseringsserver) på menyn och klicka på External Authorities (externa myndigheter).
4. I External Authorities klickar du på Add+.
5. Fyll i konfigurationsfälten:
| Fältet | Värde |
| Namn | Ett beskrivande namn utan blanksteg för LDAP- eller AD-konfigurationen. Det maximala antalet tecken är 256. Ange endast ASCII-tecken i konfigurationsnamnet. |
| Servertyp | AD över SSL |
| Leverantörens servernamn | Anger värdnamnet eller IP-adressen för Active Directory-servern |
| Port | Port 636 används för SSL. Det här fältet ska fyllas i automatiskt om "AD over SSL" är valt. |
| Hyresgästen | Välj klientorganisation om den är konfigurerad. Om ingen klientorganisation har konfigurerats eller krävs kan du använda "standard". För att konfigurera en klientorganisation krävs följande inloggningssyntax "tenant_name\domain_name\user_name". Om standardklienten används (vanligt) är inloggningssyntaxen "domain_name\user_name". Tenant – organisationscontainer på högsta nivå för NetWorker Authentication Service. Varje extern autentiseringsauktorisering i den lokala databasen tilldelas en klientorganisation. En klientorganisation kan innehålla en eller flera domäner, men domännamnen måste vara unika inom klientorganisationen. NetWorker Authentication Service skapar ett inbyggt standardklientnamn som innehåller standarddomänen. Genom att skapa flera klientorganisationer kan du hantera komplexa konfigurationer. Tjänsteleverantörer med begränsade datazoner (RDZ) kan till exempel skapa flera klientorganisationer för att tillhandahålla isolerade dataskyddstjänster till klientanvändare. |
| Domän | Det fullständiga domännamnet inklusive alla DC-värden; t.ex. example.com |
| Användar-DN | Anger det fullständiga unika namnet (DN) för ett användarkonto som har fullständig läsåtkomst till AD-katalogen. |
| DN-användarlösenord | Anger lösenordet för det användarkonto som används för att komma åt och läsa AD Direct |
| Gruppobjektsklass | Krävs. Objektklassen som identifierar grupper i LDAP- eller AD-hierarkin. ► För LDAP använder du gruppenOfUniqueNames eller groupOfNames. Använd grupp för AD. |
| Gruppsökväg (valfritt) | Ett DN som anger den sökväg som autentiseringstjänsten ska använda vid sökning efter grupper i LDAP- eller AD-hierarkin. |
| Gruppnamnattribut | Det attribut som identifierar gruppnamnet. Till exempel cn. |
| Gruppmedlemsattribut | Användarens gruppmedlemskap i en grupp. ► För LDAP: ○ När gruppobjektklassen är groupOfNames är attributet ofta medlem. ○ När gruppobjektklassen är groupOfUniqueNames är attributet ofta unikt. För AD är värdet ofta medlem. |
| Användarobjektsklass | Objektklassen som identifierar användarna i LDAP- eller AD-hierarkin. Till exempel person. |
| Användarsökväg (valfritt) | Det DN som anger den sökväg som autentiseringstjänsten ska använda vid sökning efter användare i LDAP- eller AD-hierarkin. Ange en sökväg som är relativ till det bas-DN som du angav i alternativet configserver-address. För AD anger du till exempel cn=users. |
| Användar-ID-attribut | Användar-ID:t som är kopplat till användarobjektet i LDAP- eller AD-hierarkin. För LDAP är det här attributet ofta uid. För AD är det här attributet vanligtvis sAMAccountName. |
Obs! Rådgör med din AD/LDAP-administratör för att bekräfta vilka AD/LDAP-specifika fält som behövs för din miljö.
6. När du är klar klickar du på Save.
7. En sammanfattning av den konfigurerade resursen för extern behörighet bör nu visas:
8. På menyn Server->User Groups redigerar du de användargrupper som innehåller de rättigheter som du vill delegera till AD/LDAP-grupper eller användare. Om du till exempel vill bevilja fullständiga administratörsrättigheter bör AD-gruppen/användarens DN anges i fältet Externa roller i rollerna Programadministratörer och Säkerhetsadministratörer.
E.g: CN=NetWorker_Admins,CN=användare,DC=emclab,DC=local
9. När AD-gruppen och/eller användar-DN har angetts klickar du på Save.
10. Logga ut från NWUI-gränssnittet och logga in igen med AD-kontot:
11. Användarikonen i det övre högra hörnet anger vilket användarkonto som är inloggt.
Additional Information
Du kan använda kommandot authc_mgmt på NetWorker-servern för att bekräfta att AD/LDAP-grupperna/användarna är synliga:
Ytterligare resurser:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
E.g:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
Obs! På vissa system kan authc-kommandona misslyckas med felet "felaktigt lösenord" även när rätt lösenord anges. Detta beror på att lösenordet som anges som synligt text med alternativet "-p". Om du stöter på det tar du bort "-p password" från kommandona. Du uppmanas att ange lösenordet som är dolt när du har kört kommandot.
Ytterligare resurser:
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.