NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)

Afin de configurer une connexion SSL pour l’authentification, l’autorité de certification racine (ou la chaîne d’autorité de certification lorsqu’elle est utilisée) doit être importée dans le fichier cacerts utilisé par le processus authc de NetWorker.

Configuration d’AUTHC pour utiliser SSL

1) Ouvrez une invite de commande administrative/racine dans le répertoire bin Java.

• Si vous utilisez NetWorker Runtime Environment (NRE) pour l’instance Java du serveur AUTHC, l’emplacement est le suivant:
  • Linux : /opt/nre/java/latest/bin/
  • Windows : C:\Program Files\NRE\java\jrex. x. x_xxx\bin
• Si vous utilisez Oracle Java, le chemin d’accès au fichier peut varier en fonction de l’emplacement installé et de la version Java utilisée. 

2, a) Affichez la liste des certificats approuvés actuels dans le magasin de certificats de confiance.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Le mot de passe par défaut du storepass est changeit.
• Sur les serveurs Windows, la commande keytool serait exécutée à partir du répertoire bin Java, mais ressemblerait à:
  • keytool -list -keystore.. \lib\security\cacerts -storepass changeit

2, b) Passez en revue la liste pour trouver un alias qui correspond à votre serveur LDAPS (cela peut ne pas exister). Vous pouvez utiliser les commandes grep ou findstr du système d’exploitation avec la commande ci-dessus pour affiner la recherche. S’il existe un certificat d’autorité de certification obsolète ou existant à partir de votre serveur LDAPS, supprimez-le à l’aide de la commande suivante:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Remplacez ALIAS_NAME par le nom d’alias du serveur LDAPS collecté à partir de la sortie dans 2, a.

3, a) Utilisez l’outil OpenSSL pour obtenir une copie du certificat d’autorité de certification auprès du serveur LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• Par défaut, les hôtes Windows n’incluent pas le programme openssl. S’il n’est pas possible d’installer OpenSSL sur le serveur NetWorker, les certificats peuvent être exportés directement à partir du serveur LDAPS. Toutefois, il est vivement recommandé d’utiliser l’utilitaire OpenSSL. 
• Linux est généralement livré avec openssl installé. Si vous disposez de serveurs Linux dans l’environnement, vous pouvez utiliser openssl pour collecter/créer les fichiers de certificat. Ils peuvent être copiés et utilisés sur le serveur d’authentification Windows.
• Si vous ne disposez pas d’OpenSSL et qu’il ne peut pas être installé, votre administrateur AD doit fournir un ou plusieurs certificats en les exportant au format base-64 codé x.509.
• Remplacez LDAPS_SERVER par le nom d’hôte ou l’adresse IP de votre serveur LDAPS.

3, b) La commande ci-dessus génère le certificat d’autorité de certification ou une chaîne de certificats au format PEM, par exemple:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Copiez le certificat à partir de ---BEGIN CERTIFICATE--- et se terminant par ---END CERTIFICATE--- et collez-le dans un nouveau fichier. S’il existe une chaîne de certificats, vous devez le faire avec chaque certificat.

4) Importez le ou les certificats créés dans 3, c dans le magasin de certificats de confiance JAVA:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Remplacez ALIAS_NAME par un alias pour le certificat importé. Il s’agit généralement du nom du serveur LDAPS. Lors de l’importation de plusieurs certificats pour une chaîne de certificats, chaque certificat doit avoir un nom ALIAS différent et être importé séparément. La chaîne de certificats doit également être importée dans l’ordre de l’étape 3, a (haut en bas).
• Remplacez PATH_TO\CERT_FILE par l’emplacement du fichier de certificat que vous avez créé à l’étape 3, c.

Vous êtes invité à importer le certificat, saisissez yes et appuyez sur Entrée.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Redémarrez les services du serveur NetWorker. 
 
Linux: nsr_shutdown
service networker démarre
Windows: net stop nsrd
net start nsrd
 

 

Création d’une ressource d’autorité externe « AD over SSL » à partir de l’interface NWUI

1. À partir d’un navigateur Web, accédez au serveur NWUI:
https://nwui-server-name:9090/nwui2. Connectez-vous à l’aide du compte administrateur NetWorker.
3. Dans le menu, développez Serveur d’authentification, puis cliquez sur Autorités externes.
4. Dans Autorités externes, cliquez sur Ajouter+.
5. Renseignez les champs de configuration:

Configuration de base:

Champ	Valeur
Nom	Nom descriptif, sans espaces pour la configuration LDAP ou AD. Le nombre maximal de caractères est de 256. Spécifiez des caractères ASCII dans le nom de configuration uniquement.
Type de serveur	AD sur SSL
Nom du serveur du fournisseur	Spécifie le nom d’hôte ou l’adresse IP du serveur Active Directory
Port	Le port 636 est utilisé pour SSL. Ce champ doit être renseigné automatiquement si « AD over SSL » est sélectionné.
Locataire	Sélectionnez le tenant s’il est configuré. Si aucun tenant n’est configuré ou requis, vous pouvez utiliser la valeur par défaut.  La configuration d’un tenant nécessite la syntaxe de connexion suivante: « tenant_name\domain_name\user_name ». Si le tenant par défaut est utilisé (commun), la syntaxe de connexion est « domain_name\user_name ».  Tenant: conteneur organisationnel de premier niveau pour le service d’authentification NetWorker. Chaque autorité d’authentification externe dans la base de données locale est attribuée à un tenant. Un client peut contenir un ou plusieurs domaines, mais les noms de domaine doivent être uniques au sein du tenant. Le service d’authentification NetWorker crée un nom de tenant intégré par défaut, qui contient le domaine par défaut. La création de plusieurs tenants vous aide à gérer des configurations complexes. Par exemple, les prestataires de services disposant de zones de données restreintes (RDZ) peuvent créer plusieurs tenants pour fournir des services de protection des données isolés aux utilisateurs de tenants.
Domaine	Le nom de domaine complet, y compris toutes les valeurs DC; p. ex. example.com
DN d’utilisateur	Spécifie le nom unique (DN) complet d’un compte utilisateur disposant d’un accès en lecture complet au répertoire AD.
Mot de passe DN d’utilisateur	Spécifie le mot de passe du compte utilisateur utilisé pour accéder à AD Direct et le lire.

 

Configuration avancée:

Classe d’objets de groupe	Obligatoire. Classe d’objets qui identifie les groupes dans la hiérarchie LDAP ou AD. ● Pour LDAP, utilisez groupOfUniqueNames ou groupOfNames. ● Pour AD, utilisez le groupe.
Chemin de recherche de groupe (facultatif)	Nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche de groupes dans la hiérarchie LDAP ou AD.
Attribut de nom de groupe	Attribut qui identifie le nom du groupe. Par exemple, cn.
Attribut du membre du groupe	Appartenance à un groupe de l’utilisateur au sein d’un groupe. ● Pour LDAP: ○ Lorsque group Object Class est groupOfNames , l’attribut est généralement membre. ○ Lorsque la classe d’objets de groupe est groupOfUniqueNames , l’attribut est généralement uniquemember. ● Pour AD, la valeur est généralement membre.
Classe d’objets utilisateur	Classe d’objets qui identifie les utilisateurs dans la hiérarchie LDAP ou AD. Par exemple, personne.
Chemin de recherche utilisateur (facultatif)	Nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche d’utilisateurs dans la hiérarchie LDAP ou AD. Spécifiez un chemin de recherche relatif au nom unique de base que vous avez spécifié dans l’option configserver-address. Par exemple, pour AD, spécifiez cn=users.
Attribut iD utilisateur	ID utilisateur associé à l’objet utilisateur dans la hiérarchie LDAP ou AD. Pour LDAP, cet attribut est généralement uid. Pour AD, cet attribut est généralement sAMAccountName.

 

6. Lorsque vous avez terminé, cliquez sur Enregistrer.
7. Un récapitulatif de la ressource d’autorité externe configurée doit désormais s’afficher:

 

8. Dans le menu Server->User Groups, modifiez les groupes d’utilisateurs qui contiennent les droits que vous souhaitez déléguer aux groupes ou utilisateurs AD/LDAP. Par exemple, pour accorder des droits d’administrateur complets, le nom unique du groupe/utilisateur AD doit être spécifié dans le champ Rôles externes des rôles Administrateurs d’applications et Administrateurs de sécurité.

Par exemple : CN=NetWorker_Admins,CN=Utilisateurs,DC=emclab,DC=local

9. Une fois que le groupe AD et/ou les DN utilisateur ont été spécifiés, cliquez sur Enregistrer. 
10. Déconnectez-vous de l’interface NWUI et reconnectez-vous à l’aide du compte AD:

11. L’icône de l’utilisateur dans le coin supérieur droit indique le compte utilisateur auquel il est connecté.

Vous pouvez utiliser la commande authc_mgmt sur votre serveur NetWorker pour confirmer que les groupes/utilisateurs AD/LDAP sont visibles:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Par exemple :

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Ressources supplémentaires :

• NetWorker : Configuration de LDAP/AD à l’aide de scripts authc_config
• NetWorker : Configuration de l’authentification AD/LDAP
• NetWorker : Réinitialisation du mot de passe administrateur