NetWorker：NWUI(NetWorker Webユーザー インターフェイス)から「AD over SSL」(LDAPS)を構成する方法

認証のためにSSL接続を構成するには、ルートCA(または使用する場合はCAチェーン)を、NetWorkerの認証プロセスで使用されるcacertsファイルにインポートする必要があります。

SSLを使用するためのAUTHCの構成

1)Java binディレクトリで管理/rootコマンド プロンプトを開きます。

• AUTHCサーバーのJavaインスタンスにNetWorker Runtime Environment(NRE)を使用している場合、場所は次のとおりです。
  • Linuxの場合/opt/nre/java/latest/bin/
  • Windowsの場合：C:\Program Files\NRE\java\jrex。x。x_xxx\bin
• Oracle Javaを使用している場合は、インストールされている場所と使用されているJavaのバージョンによってファイル パスが異なる場合があります。 

2、 a)トラスト ストア内の現在の信頼できる証明書のリストを表示します。

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• storepassのデフォルトパスワードはchangeit  です。
• Windowsサーバーでは、keytoolコマンドはJava binディレクトリから実行されますが、次のようになります。
  • keytool -list -keystore ..\lib\security\cacerts -storepass changeit

2、b)LDAPSサーバーと一致するエイリアスのリストを確認します(存在しない場合があります)。上記のコマンドでオペレーティング システムのgrepまたはfindstrコマンドを使用して、検索を絞り込むことができます。LDAPSサーバーから古いCA証明書または既存のCA証明書がある場合は、次のコマンドを使用して削除します。

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• ALIAS_NAME 2の出力から収集されたLDAPSサーバーのエイリアス名に置き換えます。

3、a)OpenSSLツールを使用して、LDAPSサーバーからCA証明書のコピーを取得します。

openssl s_client -showcerts -connect LDAPS_SERVER:636

• デフォルトでは、Windowsホストにはopensslプログラムは含まれません。NetWorkerサーバーにOpenSSLをインストールできない場合は、証明書をLDAPSサーバーから直接エクスポートできます。ただし、OpenSSLユーティリティを使用することを強くお勧めします。 
• Linuxには通常、opensslがインストールされています。環境にLinuxサーバーがある場合は、opensslを使用して証明書ファイルを収集/作成できます。これらは、Windows authcサーバーにコピーして使用できます。
• OpenSSLをインストールできず、インストールできない場合は、AD管理者がBase-64エンコードx.509形式としてエクスポートして、1つ以上の証明書を提供します。
• LDAPS_SERVERをLDAPSサーバーのホスト名またはIPアドレスに置き換えます。

3、b)上記のコマンドは、CA証明書または証明書チェーンをPEM形式で出力します。例:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3、 c)証明書を---BEGIN CERTIFICATEからコピーし------END CERTIFICATEで終わる---新しいファイルに貼り付けます。一連の証明書がある場合は、各証明書でこれを行う必要があります。

4)3、cで作成された証明書をJAVA信頼キーストアにインポートします。

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• ALIAS_NAMEをインポートされた証明書のエイリアスに置き換えます。通常、これはLDAPSサーバー名です。証明書チェーンに対して複数の証明書をインポートする場合は、各証明書に異なるエイリアス名を付け、個別にインポートする必要があります。証明書チェーンは、ステップ3(トップ ダウン)から順にインポートする必要もあります。
• PATH_TO\CERT_FILEを、ステップ3、cで作成した証明書ファイルの場所に置き換えます。

証明書のインポートを求めるプロンプトが表示されたら、「 yes 」と入力してEnterキーを押します。

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6)NetWorkerサーバー サービスを再起動します。 
 
Linux:nsr_shutdown
サービスNetworkerがWindowsを起動
します。net stop nsrd
net start nsrd
 

 

NWUIからの「AD over SSL」外部権限リソースの作成

1.WebブラウザからNWUIサーバにアクセスします。
https://nwui-server-name:9090/nwui2.NetWorker管理者アカウントを使用してログインします。
3.メニューから[ Authentication Server ]を展開し、[ External Authorities ]をクリックします。
4.外部機関から、 Add+をクリックします。
5.構成フィールドに次の情報を入力します。

基本設定:

フィールド	値
名前	LDAPまたはAD構成用のスペースを含まない記述名。最大文字数は256文字です。構成名のみにASCII文字を指定します。
サーバー タイプ	SSL経由のAD
プロバイダー サーバー名	Active Directory サーバのホスト名または IP アドレスを指定します。
ポート	ポート636はSSLに使用されます。[AD over SSL]が選択されている場合は、このフィールドが自動的に入力されます。
テナント	構成されている場合はテナントを選択します。テナントが構成されていないか、必要ない場合は、「default」を使用できます。 テナントを構成するには、次のログイン構文「tenant_name\domain_name\user_name」が必要です。デフォルトのテナントが使用されている場合(共通)、ログイン構文は「domain_name\user_name」になります。 テナント:NetWorker認証サービスの最上位レベルの組織コンテナ。ローカル データベース内の各外部認証機関がテナントに割り当てられます。テナントには1つ以上のドメインを含めることができますが、ドメイン名はテナント内で一意である必要があります。NetWorker認証サービスは、デフォルト ドメインを含む1つの組み込みテナント名 Default を作成します。複数のテナントを作成すると、複雑な構成を管理できます。たとえば、RDZ(制限付きデータゾーン)を持つサービス プロバイダーは、複数のテナントを作成して、テナント ユーザーに分離されたデータ保護サービスを提供できます。
ドメイン	すべてのDC値を含む完全なドメイン名。例:example.com
［User DN］：	ADディレクトリへの完全な読み取りアクセス権を持つユーザー アカウントの完全なDN(識別名)を指定します。
［User DN Password］：	ADダイレクトへのアクセスと読み取りに使用するユーザー アカウントのパスワードを指定します。

 

詳細設定:

グループ オブジェクト クラス	必須。LDAPまたはAD階層内のグループを識別するオブジェクト クラス。 ● LDAPの場合は、 groupOfUniqueNames または groupOfNames を使用します。 ● ADの場合は 、グループを使用します。
グループ検索パス(オプション)	LDAPまたはAD階層でグループを検索するときに認証サービスが使用する検索パスを指定するDN。
グループ名属性	グループ名を識別する属性。たとえば、cn。
グループ メンバー属性	グループ内のユーザー のグループ メンバーシップ。 ● LDAPの場合: ○ グループ オブジェクト クラスが groupOfNames の場合、属性は一般的にメンバーです。 ○ グループ オブジェクト クラスが groupOfUniqueNames の場合、属性は一般的に一意のメンバーです。 ● ADの場合、値は一般的に メンバーです。
ユーザー オブジェクト クラス	LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。たとえば、 person などです。
ユーザー検索パス(オプション)	LDAPまたはAD階層でユーザーを検索するときに認証サービスが使用する検索パスを指定するDN。configserver-address オプションで指定したベースDNに関連する検索パスを指定します。たとえば、ADの場合は 、 cn=users を指定します。
ユーザーID属性	LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。 LDAPの場合、この属性は一般的に uidです。 ADの場合、この属性は一般的に sAMAccountNameです。

 

6.完了したら、[ save ]をクリックします。
7.構成済みの外部機関リソースのサマリーが表示されます。

 

8.Server->User Groups メニューから、AD/LDAPグループまたはユーザーに委任する権限を含むユーザー グループを編集します。たとえば、完全な管理者権限を付与するには、ADグループ/ユーザーDNをアプリケーション管理者およびセキュリティ管理者の役割の[外部ロール]フィールドで指定する必要があります。

例：CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local

9.ADグループおよび/またはユーザーDNを指定したら、[ 保存 ]をクリックします。
10.NWUIインターフェイスからログアウトし、ADアカウントを使用して再度ログインします。

11.右上隅のユーザー アイコンは、サインインしているユーザー アカウントを示します。

NetWorkerサーバーでauthc_mgmt コマンドを使用して、AD/LDAPグループ/ユーザーが表示されていることを確認できます。

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

例：

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

その他のリソース:

• NetWorker：authc_configスクリプトを使用してLDAP/ADをセットアップする方法
• NetWorker：AD/LDAP認証を設定する方法
• NetWorker：管理者パスワードをリセットする方法