NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Summary: Denne KB-en inneholder informasjon om prosessen som kreves for å konfigurere «AD over SSL» (LDAPS) fra NetWorker Web User Interface (NWUI). Alternativet for å konfigurere eksterne myndighetsrepositorier fra NWUI ble gjort tilgjengelig i NetWorker 19.6.x og nyere. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
For å kunne konfigurere en SSL-tilkobling for godkjenning må rot-CA (eller CA-kjeden når den brukes) importeres til cacerts-filen som brukes av NetWorkers godkjenningsprosess.
3, b) Kommandoen ovenfor sender CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks.
3, c) Kopier sertifikatet fra ---BEGIN-SERTIFIKAT--- og slutt med ---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
4) Importer sertifikatene eller sertifikatene som er opprettet i 3, c til JAVA Trust-nøkkellageret:
Linux: nsr_shutdown-tjenestenettverk
starter
Windows: net stop nsrd
net start nsrd
6. Når du er ferdig, klikker du på Save (Lagre).
7. Et sammendrag av den konfigurerte eksterne myndighetsressursen skal nå vises:
Konfigurere AUTHC til å bruke SSL
1) Åpne en administrator-/rotkommando i Java Bin-katalogen.- Hvis du bruker NetWorker Runtime Environment (NRE) for AUTHC-serverens Java-forekomst, er plasseringen:
- Linux: /opt/nre/java/latest/bin/
- Windows: C:\Programfiler\NRE\java\jrex. x. x_xxx\bin
- Hvis du bruker Oracle Java, kan filbanen variere avhengig av plasseringen som er installert, og Java-versjonen som brukes.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Standardpassordet for lagerpasset er changeit.
- På Windows-servere kjøres keytool-kommandoen fra Java Bin-katalogen, men ser omtrent slik ut:
- keytool -list -keystore .. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Erstatt ALIAS_NAME med aliasnavnet til LDAPS-serveren som ble samlet inn fra utdataene i 2, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Som standard inkluderer ikke Windows-verter opensl-programmet. Hvis det ikke er mulig å installere OpenSSL på NetWorker-serveren, kan sertifikatene eksporteres direkte fra LDAPS-serveren. Det anbefales imidlertid på det sterkeste å bruke OpenSSL-verktøyet.
- Linux leveres vanligvis med opensl installert. Hvis du har Linux-servere i miljøet, kan du bruke openssl der for å samle inn/opprette sertifikatfilene. Disse kan kopieres til og brukes på Windows-godkjenningsserveren.
- Hvis du ikke har OpenSSL, og den ikke kan installeres, kan AD-administratoren oppgi ett eller flere sertifikater ved å eksportere dem som basis-64-kodet x.509-format.
- Bytt ut LDAPS_SERVER med vertsnavnet eller IP-adressen til LDAPS-serveren.
3, b) Kommandoen ovenfor sender CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks.
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
MERK: Hvis det finnes en kjede av sertifikater, er det siste sertifikatet CA-sertifikatet. Du må importere hvert sertifikat i kjeden i rekkefølge (ovenfra og ned) og avslutte med CA-sertifikatet.
3, c) Kopier sertifikatet fra ---BEGIN-SERTIFIKAT--- og slutt med ---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
4) Importer sertifikatene eller sertifikatene som er opprettet i 3, c til JAVA Trust-nøkkellageret:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Bytt ut ALIAS_NAME med et alias for det importerte sertifikatet. Dette er vanligvis navnet på LDAPS-serveren. Når du importerer flere sertifikater for en sertifikatkjede, må hvert sertifikat ha et annet ALIAS-navn og importeres separat. Sertifikatkjeden må også importeres i rekkefølge fra trinn 3, a (ovenfra og ned).
- Erstatt PATH_TO\CERT_FILE med plasseringen av sertfilen du opprettet i trinn 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
MERK: Pipe (|) the operating system grep or findstr command to the above to narrow the result (Pipe (|) operativsystemet grep- eller findstr-kommandoen til ovennevnte for å begrense resultatet.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Start NetWorker-servertjenestene på nytt.
Linux: nsr_shutdown-tjenestenettverk
starter
Windows: net stop nsrd
net start nsrd
MERK: Hvis NetWorker-servertjenestene ikke startes på nytt, vil ikke authc lese cacerts-filen, og den vil ikke oppdage de importerte sertifikatene som kreves for å etablere SSL-kommunikasjon med LDAP-serveren.
Opprette en ekstern AD over SSL-ressurs fra NWUI
1. Gå til NWUI-serveren fra en nettleser:
https://nwui-server-name:9090/nwui2. Logg på med NetWorker Administrator-kontoen.
3. Utvid godkjenningsserveren fra menyen, og klikk på External Authorities (Eksterne myndigheter).
4. Fra eksterne myndigheter klikker du på Legg til+.
5. Fyll ut konfigurasjonsfeltene:
| Feltet | Value |
| Navn | Et beskrivende navn uten mellomrom for LDAP- eller AD-konfigurasjonen. Maksimalt antall tegn er 256. Angi kun ASCII-tegn i konfigurasjonsnavnet. |
| Servertype | AD over SSL |
| Leverandørservernavn | Angir vertsnavnet eller IP-adressen til Active Directory-serveren |
| Port | Port 636 brukes for SSL. Dette feltet skal fylles ut automatisk hvis AD over SSL er valgt. |
| Leietaker | Velg leietakeren hvis den er konfigurert. Hvis ingen leietaker er konfigurert eller nødvendig, kan du bruke standardinnstillingen. Konfigurering av en leietaker krever følgende påloggingssyntaks «tenant_name\domain_name\user_name». Hvis standardleietakeren brukes (vanlig), er påloggingssyntaksen «domain_name\user_name». Leietaker – organisasjonsbeholder på øverste nivå for NetWorker Authentication Service. Hver eksterne godkjenningsinstans i den lokale databasen er tilordnet en leietaker. En leietaker kan inneholde ett eller flere domener, men domenenavnene må være unike i leietakeren. NetWorker Authentication Service oppretter ett innebygd leietakernavn, som inneholder standarddomenet. Oppretting av flere leietakere hjelper deg med å administrere komplekse konfigurasjoner. Tjenesteleverandører med begrensede datasoner (RDZ) kan for eksempel opprette flere leietakere for å gi isolerte databeskyttelsestjenester til leietakerbrukere. |
| Domene | Det fullstendige domenenavnet, inkludert alle DC-verdier, for eksempel: example.com |
| Bruker-DN | Angir det fullstendige navnet (DN) til en brukerkonto som har full lesetilgang til AD-katalogen. |
| Bruker-DN-passord | Angir passordet til brukerkontoen som brukes til å få tilgang til og lese AD direkte |
| Gruppeobjektklasse | Nødvendig. Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet. } For LDAP bruker du groupOfUniqueNames eller groupOfNames. | For AD bruker du gruppe. |
| Gruppesøkebane (ekstrautstyr) | Et DN som angir søkebanen som godkjenningstjenesten skal bruke når du søker etter grupper i LDAP- eller AD-hierarkiet. |
| Attributt for gruppenavn | Attributtet som identifiserer gruppenavnet. For eksempel cn. |
| Gruppemedlemsattributtet | Gruppemedlemskapet til brukeren i en gruppe. For LDAP: ○ Når gruppeobjektklassen er groupOfNames , er attributtet vanligvis medlem. ○ Når gruppeobjektklassen er groupOfUniqueNames , er attributtet vanligvis unikt. | For AD er verdien ofte medlem. |
| Brukerobjektklasse | Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet. For eksempel person. |
| Brukersøkebane (ekstrautstyr) | DN som angir søkebanen som godkjenningstjenesten skal bruke når du søker etter brukere i LDAP- eller AD-hierarkiet. Angi en søkebane som er relativ til den grunnleggende DN-en som du har angitt i alternativet configserver-address (konfigurasjonsserver-adresse). For eksempel, for AD, angir du cn=users. |
| Bruker-ID-attributt | Bruker-ID-en som er tilknyttet brukerobjektet i LDAP- eller AD-hierarkiet. For LDAP er dette attributtet vanligvis uid. For AD er dette attributtet vanligvis sAMAccountName. |
MERK: Kontakt AD/LDAP-administratoren for å bekrefte hvilke AD/LDAP-spesifikke felt som er nødvendige for miljøet ditt.
6. Når du er ferdig, klikker du på Save (Lagre).
7. Et sammendrag av den konfigurerte eksterne myndighetsressursen skal nå vises:
8. Rediger brukergruppene som inneholder rettighetene du vil delegere til AD/LDAP-grupper eller -brukere, fra menyen Server->User Groups (Server->grupper). Hvis du for eksempel vil gi fullstendige administratorrettigheter, må AD-gruppen/bruker-DN spesifiseres i feltet Eksterne roller i applikasjonsadministratorer og sikkerhetsadministratorroller.
F.eks: CN= NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Når AD-gruppen og/eller bruker-DC-ene er angitt, klikker du på Save (Lagre).
10. Logg deg av NWUI-grensesnittet, og logg på igjen ved hjelp av AD-kontoen:
11. Brukerikonet øverst i høyre hjørne angir hvilken brukerkonto som er logget på.
Additional Information
Du kan bruke kommandoen authc_mgmt på NetWorker-serveren for å bekrefte at AD/LDAP-gruppene/brukerne er synlige:
Andre ressurser:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
F.eks:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
MERK: På noen systemer kan det hende at authc-kommandoene mislykkes med feil passordfeil, selv når det riktige passordet er angitt. Dette skyldes at passordet er angitt som synlig tekst med alternativet "-p". Hvis du støter på dette, fjerner du «-p password» fra kommandoene. Du blir bedt om å angi passordet skjult etter at du har kjørt kommandoen.
Andre ressurser:
Affected Products
NetWorkerProducts
NetWorker Family, NetWorker SeriesArticle Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.