Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)

Summary: Este artigo da KB detalha o processo necessário para configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web (NWUI) do NetWorker. A opção de configurar repositórios de autoridade externa a partir da NWUI foi disponibilizada no NetWorker 19.6.x e versões posteriores. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Para configurar uma conexão SSL para autenticação, a CA raiz (ou cadeia ca quando usada) deve ser importada para o arquivo cacerts usado pelo processo authc do NetWorker.

Configurando o AUTHC para usar SSL

1) Abra um prompt de comando administrativo/root no diretório do java bin.
  • Se você estiver usando o NetWorker Runtime Environment (NRE) para a instância Java do servidor AUTHC, o local será:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Program Files\NRE\java\jrex. x xx_xxx\bin
  • Se você estiver usando o Oracle Java, o caminho do arquivo pode ser diferente, dependendo do local instalado e da versão do Java usada. 
2, a) Exibe uma lista de certificados confiáveis atuais no armazenamento confiável.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • A senha padrão do storepass é changeit.
  • Em servidores Windows, o comando keytool seria executado a partir do diretório bin java, mas seria semelhante a:
    • keytool -list -keystore.. \lib\security\cacerts -storepass changeit
2, b) Analise a lista para obter um alias que corresponda ao servidor LDAPS (isso pode não existir). Você pode usar os comandos grep oufindstr do sistema operacional com o comando acima para restringir a pesquisa. Se houver um certificado CA desatualizado ou existente de seu servidor LDAPS, exclua-o com o seguinte comando:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Substitua ALIAS_NAME pelo nome de alias do servidor LDAPS coletado do resultado em 2, a.
3, a) Use a ferramenta OpenSSL para obter uma cópia do certificado CA do servidor LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Por padrão, os hosts do Windows não incluem o programa openssl. Se não for possível instalar o OpenSSL no servidor do NetWorker, os certificados poderão ser exportados diretamente do servidor LDAPS; no entanto, é altamente recomendável usar o utilitário OpenSSL. 
  • O Linux normalmente vem com o openssl instalado. Se você tiver servidores Linux no ambiente, poderá usar o openssl para coletar/criar os arquivos de certificado. Eles podem ser copiados e usados no servidor authc do Windows.
  • Se você não tiver o OpenSSL e ele não puder ser instalado, faça com que o administrador do AD forneça um ou mais certificados exportando-os como o formato Base-64 encoded x.509.
  • Substitua LDAPS_SERVER pelo hostname ou endereço IP do servidor LDAPS.

3, b) O comando acima gera o certificado ca ou uma cadeia de certificados no formato PEM, por exemplo:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Nota: Se houver uma cadeia de certificados, o último certificado será o certificado ca. Você deve importar cada certificado na cadeia em ordem (de cima para baixo) que termina com o certificado ca.
 
3, c) Copie o certificado iniciando ---BEGIN CERTIFICATE--- e terminando com ---END CERTIFICATE--- e cole-o em um novo arquivo. Se houver uma cadeia de certificados, você deve fazer isso com cada certificado.

4) Importe o certificado ou certificados criados em 3, c para o keystore de confiança java:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Substitua ALIAS_NAME por um alias para o certificado importado. Normalmente, esse é o nome do servidor LDAPS. Ao importar vários certificados para uma cadeia de certificados, cada certificado deve ter um nome alias diferente e ser importado separadamente. A cadeia de certificados também deve ser importada na ordem da etapa 3, a (de cima para baixo).
  • Substitua PATH_TO\CERT_FILE pelo local do arquivo cert que você criou na etapa 3, c.
Você será solicitado a importar o certificado, digite yes e pressione Enter.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

Nota: Pipe (|) o comando grep ou findstr do sistema operacional para o acima para restringir o resultado. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Reinicie os serviços de servidor do NetWorker
 
Linux: nsr_shutdown
networker de serviço iniciar o

Windows: net stop nsrd
net start nsrd

 
Nota: Se os serviços de servidor do NetWorker não forem reiniciados, o authc não lerá o arquivo cacerts e não detectará os certificados importados que são necessários para estabelecer a comunicação SSL com o servidor LDAP.

 

Criando um recurso de autoridade externa "AD over SSL" a partir da NWUI

1. Em um navegador da Web, acesse o servidor NWUI:
https://nwui-server-name:9090/nwui2. Faça log-in usando a conta de administrador do NetWorker.
3. No menu, expanda Authentication Server e clique em External Authorities.
4. Em Autoridades externas, clique em Adicionar+.
5. Preencha os campos de configuração:

Configuração básica:
Campo Valor
Nome Um nome descritivo, sem espaços para a configuração de LDAP ou AD. O número máximo de caracteres é 256. Especifique os caracteres ASCII somente no nome da configuração.
Tipo de servidor AD sobre SSL
Nome do servidor provedor  Especifica o hostname ou endereço IP do Active Directory Server
Porta A porta 636 é usada para SSL; esse campo deve ser preenchido automaticamente se "AD over SSL" estiver selecionado.
Inquilino Selecione o tenant se configurado. Se nenhum tenant estiver configurado ou necessário, você poderá usar o "padrão". 
A configuração de um tenant exige a seguinte sintaxe de log-in "tenant_name\domain_name\user_name". Se o tenant padrão for usado (comum), a sintaxe de log-in será "domain_name\user_name". 

Tenant — contêiner organizacional de nível superior para o serviço de autenticação do NetWorker. Cada autoridade de autenticação externa no banco de dados local é atribuída a um tenant. Um tenant pode conter um ou mais domínios, mas os nomes de domínio devem ser exclusivos no tenant. O serviço de autenticação do NetWorker cria um nome de tenant integrado padrão, que contém o domínio padrão. A criação de vários tenants ajuda você a gerenciar configurações complexas. Por exemplo, provedores de serviços com zonas de dados restritas (RDZ) podem criar vários tenants para fornecer serviços isolados de proteção de dados aos usuários de tenant.
Domain O nome completo do domínio, incluindo todos os valores cc; por exemplo: example.com
User DN Especifica o DN (Distinguished Name, nome distinto) completo de uma conta de usuário que tem acesso completo de leitura ao diretório do AD.
User DN Password Especifica a senha da conta de usuário usada para acessar e ler o direto do AD
 
Configuração avançada:
Classe de objeto do grupo Necessário. A classe de objeto que identifica grupos na hierarquia LDAP ou AD.
● Para LDAP, use groupOfUniqueNames ou
groupOfNames.
● Para OD, use o grupo.
Caminho de pesquisa de grupo (opcional) Um DN que especifica o caminho de pesquisa que o serviço de autenticação deve usar ao pesquisar grupos na hierarquia LDAP ou AD.
Atributo de nome do grupo O atributo que identifica o nome do grupo. Por exemplo, cn.
Atributo de membro do grupo A lista de membros do grupo do usuário
em um grupo.
● Para LDAP:
6 Quando a Classe de objeto de grupo é groupOfNames , o atributo é comumente membro.
6 Quando a Classe de objeto de grupo é groupOfUniqueNames , o atributo é geralmente exclusivo.
● Para o AD, o valor geralmente é membro.
Classe de objeto do usuário A classe de objeto que identifica os usuários na hierarquia LDAP ou AD. Por exemplo, pessoa.
Caminho de pesquisa do usuário (opcional) O DN que especifica o caminho de pesquisa que o serviço de autenticação deve usar ao pesquisar usuários na hierarquia LDAP ou AD. Especifique um caminho de pesquisa relativo ao DN base que você especificou na opção configserver-address. Por exemplo, para OD, especifique cn=users.
Atributo de ID do usuário O ID do usuário associado ao objeto do usuário na hierarquia LDAP ou AD.
Para LDAP, esse atributo é normalmente id exclusivo.
Para o AD, esse atributo é normalmente sAMAccountName.

 

Nota: Consulte seu administrador do AD/LDAP para confirmar quais campos específicos do AD/LDAP são necessários para seu ambiente.

6. Quando terminar, clique em Salvar.
7. Um resumo do recurso de autoridade externa configurada agora deve ser exibido:

 

Exemplo de recurso AD over SSL configurado na janela NWUI External Authority

8. No menu Server->User Groups Edit the User Groups that contain the user groups that want to delegate to AD/LDAP Groups or Users. Por exemplo, para conceder direitos de administrador completos, o DN do grupo/usuário do AD deve ser especificado no campo Funções externas das funções administradores de aplicativos e administradores de segurança.

Por exemplo: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=localAdministradores de aplicativos

9. Depois que o grupo do AD e/ou os DNs de usuário tiverem sido especificados, clique em Save. 
10. Faça log-out da interface NWUI e faça log-in novamente usando a conta do AD:

Exemplo de log-in do AD do NWUI

11. O ícone de usuário no canto superior direito indica qual conta de usuário está assinada.

Additional Information

Você pode usar o authc_mgmt em seu servidor do NetWorker para confirmar se os grupos/usuários do AD/LDAP estão visíveis:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Por exemplo:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
Nota: Em alguns sistemas, os comandos authc podem falhar com um erro de "senha incorreta", mesmo quando a senha correta é fornecida. Isso ocorre porque a senha está sendo especificada como texto visível com a opção "-p". Se você encontrar isso, remova "-p password" dos comandos. Você será solicitado a digitar a senha oculta depois de executar o comando.


Recursos adicionais:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.