Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)

Summary: Denne KB beskriver den proces, der er nødvendig for at konfigurere "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI). Muligheden for at konfigurere eksterne myndighedslagre fra NWUI blev gjort tilgængelige i NetWorker 19.6.x og nyere. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hvis du vil konfigurere en SSL-forbindelse til godkendelse, skal rodnøglecenteret (eller CA-kæden ved brug) importeres til den cacerts-fil, der anvendes af NetWorker-hjælpeprogrammets proces.

Konfiguration af AUTHC til at bruge SSL

1) Åbn en administrativ/root-kommandoprompt i Java-bin-mappen.
  • Hvis du bruger NetWorker Runtime Environment (NRE) til AUTHC-serverens Java-forekomst, er placeringen:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
  • Hvis du bruger Oracle Java, kan filstien variere afhængigt af den installerede placering og den anvendte Java-version. 
2, a) Vis en liste over aktuelle certifikater, der er tillid til, i tillidslageret. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Standardadgangskoden for storepasset er changeit.
  • På Windows-servere køres keytool-kommandoen fra Java-bin-mappen, men den ser nogenlunde sådan ud:
    • keytool -list -keystore .. \lib\security\cacerts -storepass changeit
2, b) Gennemse listen for et alias, der svarer til din LDAPS-server (dette findes muligvis ikke). Du kan bruge operativsystemets grep- eller findstr-kommandoer med ovenstående kommando til at indsnævre søgningen. Hvis der er et forældet eller eksisterende CA-certifikat fra din LDAPS-server, skal du slette det med følgende kommando: 
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Erstat ALIAS_NAME med aliasnavnet på den LDAPS-server, der er indsamlet fra outputtet i 2, a.
3, a) Brug OpenSSL-værktøjet til at hente en kopi af CA-certifikatet fra LDAPS-serveren. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Windows-værter inkluderer som standard ikke openssl-programmet. Hvis det ikke er muligt at installere OpenSSL på NetWorker-serveren, kan certifikaterne eksporteres direkte fra LDAPS-serveren. det anbefales dog kraftigt at bruge OpenSSL-hjælpeprogrammet. 
  • Linux leveres typisk med opensl installeret, hvis du har Linux-servere i miljøet, kan du bruge openssl der til at indsamle/oprette certifikatfilerne. Disse kan kopieres til og bruges på Windows authc-serveren.
  • Hvis du ikke har OpenSSL, og det ikke kan installeres, har din AD-administrator angivet et eller flere certifikater ved at eksportere dem som Base-64-kodet x.509-format.
  • Erstat LDAPS_SERVER med værtsnavnet eller IP-adressen på din LDAPS-server.

3, b) Ovenstående kommando udskriver NØGLE-certifikatet eller en certifikatkæde i PEM-format, f.eks.: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
BEMÆRK: Hvis der er en certifikatkæde, er det sidste certifikat nøglecentercertifikatet. Du skal importere hvert certifikat i kæden i rækkefølge (top-ned), der slutter med nøglecentercertifikatet.
 
3, c) Kopier certifikatet fra ---BEGIN CERTIFICATE--- og slutter med ---END CERTIFICATE--- og indsæt det i en ny fil. Hvis der er en kæde af certifikater, skal du gøre det med hvert certifikat.

4) Importer certifikatet eller certifikater, der er oprettet i 3, c til JAVA-tillidsnøglelageret: 
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Erstat ALIAS_NAME med et alias for det importerede certifikat. Dette er typisk LDAPS-servernavnet. Når du importerer flere certifikater til en certifikatkæde, skal hvert certifikat have et andet ALIAS-navn og importeres separat. Certifikatkæden skal også importeres i rækkefølge fra trin 3, a (top-down).
  • Erstat PATH_TO\CERT_FILE med placeringen af den cert-fil, du oprettede i trin 3, c.
Du bliver bedt om at importere certifikatet, skriv ja, og tryk på Enter. 
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
BEMÆRK: Rør ved (|) operativsystemets grep- eller findstr-kommando ovenfor for at indsnævre resultatet.  
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Genstart NetWorker-servertjenesterne
 
Linux: nsr_shutdown
tjenestenetværksudbyder starter
Windows: net stop nsrd
net start nsrd
 
BEMÆRK: Hvis NetWorker-servertjenesterne ikke genstartes, vil authc ikke læse cacerts-filen, og den vil ikke registrere de importerede certifikater, der er nødvendige for at oprette SSL-kommunikation med LDAP-serveren.

 

Oprettelse af en "AD over SSL"-ekstern myndighedsressource fra NWUI

1. Fra en webbrowser skal du åbne NWUI-serveren:
https://nwui-server-name:9090/nwui2. Log på med NetWorker Administrator-kontoen.
3. I menuen skal du udvide godkendelsesserveren og klikke på Eksterne myndigheder.
4. Fra eksterne myndigheder skal du klikke på Add+.
5. Udfyld konfigurationsfelterne:

Grundlæggende konfiguration:
Feltet Værdi
Navn Et beskrivende navn uden mellemrum til LDAP- eller AD-konfigurationen. Det maksimale antal tegn er 256. Angiv kun ASCII-tegn i konfigurationsnavnet.
Servertype AD over SSL
Udbyderservernavn  Angiver værtsnavnet eller IP-adressen på Active Directory-serveren
Port Port 636 bruges til SSL. Dette felt bør udfyldes automatisk, hvis "AD over SSL" er valgt.
Lejer Vælg lejer, hvis den er konfigureret. Hvis ingen lejer er konfigureret eller påkrævet, kan du bruge "standard". 
Konfiguration af en lejer kræver følgende loginsyntaks "tenant_name\domain_name\user_name." Hvis standardbrugeren bruges (fælles), er loginsyntaksen "domain_name\user_name". 

Tenant (Lejer) – organisationsbeholder på øverste niveau til NetWorker Authentication Service. Hver ekstern godkendelsesmyndighed i den lokale database tildeles en lejer. En lejer kan indeholde et eller flere domæner, men domænenavnene skal være entydige i tenanten. NetWorker Authentication Service opretter et indbygget lejernavn standard, som indeholder standarddomænet. Oprettelse af flere lejere hjælper dig med at administrere komplekse konfigurationer. F.eks. kan serviceudbydere med begrænsede datazoner (RDZ) oprette flere lejere for at levere isolerede databeskyttelsestjenester til lejerbrugere.
Domæne Det fulde domænenavn, herunder alle DC-værdier. f.eks.: example.com
Bruger-DN Angiver det fulde entydige navn (DN) på en brugerkonto, der har fuld læseadgang til AD-mappen.
Bruger-DN-adgangskode Angiver adgangskoden til den brugerkonto, der bruges til at få adgang til og læse AD Direct
 
Avanceret konfiguration:
Group Object Class Kræves. Objektklassen, der identificerer grupper i LDAP- eller AD-hierarkiet.
• Til LDAP skal du bruge groupOfUniqueNames eller
groupOfNames.
For AD skal du bruge gruppe.
Søgesti til gruppe (valgfrit tilbehør) Et DN, der angiver den søgesti, som godkendelsestjenesten skal bruge, når der søges efter grupper i LDAP- eller AD-hierarkiet.
Attribut for gruppenavn Attributten, der identificerer gruppenavnet. F.eks. cn.
Attribut for gruppemedlem Gruppemedlemskab for brugeren
i en gruppe.
• Til LDAP:
○ Når Group Object Class er groupOfNames , er attributten almindeligvis medlem.
○ Når gruppeobjektklassen er groupOfUniqueNames , er attributten almindeligvis entydig.
* For AD er værdien almindeligvis medlem.
Brugerobjektklasse Objektklassen, der identificerer brugerne i LDAP- eller AD-hierarkiet. F.eks. person.
Brugersøgesti (valgfrit tilbehør) Det DN, der angiver den søgesti, som godkendelsestjenesten skal bruge, når der søges efter brugere i LDAP- eller AD-hierarkiet. Angiv en søgesti, der er i forhold til den grundlæggende DN, som du har angivet i konfigurationsserveradresseindstillingen. For AD angives f.eks. cn=users.
Attribut for bruger-id Det bruger-id, der er knyttet til brugerobjektet i LDAP- eller AD-hierarkiet.
For LDAP er denne attribut ofte uid.
For AD er denne attribut ofte sAMAccountName.

 

BEMÆRK: Kontakt din AD/LDAP-administrator for at få bekræftet, hvilke AD/LDAP-specifikke felter der er nødvendige for dit miljø.

6. Når du er færdig, skal du klikke på Gem.
7. Der bør nu vises en oversigt over den konfigurerede eksterne myndighedsressource:

 

Eksempel på konfigureret AD over SSL-ressource i NWUI External Authority-vinduet

8. I menuen Server->Brugergrupper redigeres de brugergrupper, der indeholder de rettigheder, du vil delegere til AD/LDAP-grupper eller brugere. For at tildele fulde administratorrettigheder skal AD-gruppe/bruger-DN angives i feltet Eksterne roller for programadministratorer og sikkerhedsadministratorroller.

F.eks: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=localProgramadministratorer

9. Når AD-gruppen og/eller bruger-DC'erne er blevet angivet, skal du klikke på Gem. 
10. Log ud af NWUI-grænsefladen, og log ind igen ved hjælp af AD-kontoen:

Eksempel på NWUI AD-login

11. Brugerikonet i øverste højre hjørne angiver, hvilken brugerkonto der er logget på.

Additional Information

Du kan bruge kommandoen authc_mgmt på din NetWorker-server til at bekræfte, at AD/LDAP-grupper/brugere er synlige: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
F.eks:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
BEMÆRK: På nogle systemer kan authc-kommandoerne mislykkes med fejlen "forkert adgangskode", selv når den korrekte adgangskode er angivet. Dette skyldes, at adgangskoden er angivet som synlig tekst med indstillingen "-p". Hvis du støder på dette, skal du fjerne "-p password" fra kommandoerne. Du vil blive bedt om at indtaste adgangskoden, efter at du har kørt kommandoen.


Yderligere ressourcer:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.