NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)

Чтобы настроить SSL-соединение для аутентификации, корневой ЦС (или цепочка ЦС при использовании) необходимо импортировать в файл cacerts, используемый процессом аутентификации NetWorker.

Настройка AUTHC для использования SSL

1) Откройте командную строку администратора/корневого пользователя в каталоге Java bin.

• Если вы используете NetWorker Runtime Environment (NRE) для экземпляра Java сервера AUTHC, местонахождение:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
• При использовании Oracle Java путь к файлу может отличаться в зависимости от места установки и используемой версии Java. 

2, a) Отображение списка текущих доверенных сертификатов в хранилище доверия.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Пароль по умолчанию для storepass — changeit.
• На серверах Windows команда keytool будет выполняться из каталога Java bin, но будет выглядеть так:
  • keytool -list -keystore .. \lib\security\cacerts -storepass changeit

2, b) Просмотрите список на наличие псевдонима, который соответствует вашему серверу LDAPS (может не существовать). Чтобы сузить поиск, можно использовать команды grep или findstr операционной системы с помощью указанной выше команды. Если на сервере LDAPS имеется устаревший или существующий сертификат ЦС, удалите его с помощью следующей команды:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Замените ALIAS_NAME псевдонимом сервера LDAPS, собранным из выходных данных в 2, a.

3, a) Используйте инструмент OpenSSL, чтобы получить копию сертификата ЦС с сервера LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• По умолчанию хосты Windows не включают программу openssl. Если установить OpenSSL на сервере NetWorker невозможно, сертификаты можно экспортировать непосредственно с сервера LDAPS. однако настоятельно рекомендуется использовать утилиту OpenSSL. 
• Linux обычно поставляется с установленным файлом openssl. Если в среде имеются серверы Linux, можно использовать файл openssl для сбора/создания файлов сертификатов. Их можно скопировать на сервер authc Windows и использовать на этом сервере.
• Если у вас нет OpenSSL и его нельзя установить, администратор AD предоставит один или несколько сертификатов, экспортив их в формате x.509, закодированного в Base-64.
• Замените LDAPS_SERVER на имя хоста или IP-адрес сервера LDAPS.

3, b) Приведенная выше команда выводит сертификат ЦС или цепочку сертификатов в формате PEM, например:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Скопируйте сертификат, начиная с ---BEGIN CERTIFICATE--- и заканчивающийся на ---END CERTIFICATE--- и вставьте его в новый файл. При наличии цепочки сертификатов это необходимо сделать с каждым сертификатом.

4) Импортируйте сертификат или сертификаты, созданные в 3, c, в хранилище ключей доверия JAVA:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Замените ALIAS_NAME псевдонимом для импорт доступного сертификата. Обычно это имя сервера LDAPS. При импорте нескольких сертификатов для цепочки сертификатов каждый сертификат должен иметь другое имя ALIAS и импортироваться отдельно. Цепочку сертификатов также необходимо импортировать в порядке, указанном в шаге 3 a (сверху вниз).
• Замените PATH_TO\CERT_FILE местоположением файла сертификата, созданного на шаге 3, c.

Появится запрос на импорт сертификата, введите yes и нажмите клавишу ENTER.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Перезапустите службы сервера NetWorker. 
 
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
 

 

Создание внешнего ресурса полномочий «AD over SSL» из NWUI

1. В веб-браузере перейдите к серверу NWUI:
https://nwui-server-name:9090/nwui2. Войдите в систему с помощью учетной записи администратора NetWorker.
3. В меню разверните пункт Сервер аутентификации и нажмите Внешние центры.
4. В окне Внешние органы нажмите Add+.
5. Заполните поля конфигурации:

Базовая конфигурация:

Поле	Значение
Имя	Описательный имя без пробелов для конфигурации LDAP или AD. Максимальное количество символов — 256. Укажите символы ASCII только в имени конфигурации.
Тип сервера	AD через SSL
Имя сервера поставщика	Указывает имя хоста или IP-адрес сервера Active Directory
Порт	Порт 636 используется для SSL, это поле должно заполняться автоматически, если выбран параметр «AD over SSL».
Арендатор	Выберите клиента, если он настроен. Если клиент не настроен или не требуется, можно использовать значение по умолчанию.  Для настройки клиента требуется следующий синтаксис входа «tenant_name\domain_name\user_name». Если используется клиент по умолчанию (общий), синтаксис входа будет «domain_name\user_name».  Tenant — контейнер верхнего уровня организации для сервиса аутентификации NetWorker. Каждый внешний центр аутентификации в локальной базе данных назначается пользователю. Клиент может содержать один или несколько доменов, но доменные имена должны быть уникальными в пределах клиента. Служба аутентификации NetWorker создает одно встроенное имя клиента По умолчанию, которое содержит домен по умолчанию. Создание нескольких клиентов помогает управлять сложными конфигурациями. Например, поставщики услуг с ограниченными зонами данных (RDZ) могут создать несколько клиентов, чтобы предоставлять изолированные сервисы защиты данных пользователям клиентов.
Домен	полное имя домена, включая все значения контроллера домена; Например, example.com
Имя пользователя	Указывает полное различающееся имя (DN) учетной записи пользователя с полным доступом для чтения к каталогу AD.
Пароль DN пользователя	Задает пароль учетной записи пользователя, которая используется для доступа к AD Direct и чтения

 

Расширенная конфигурация:

Класс объекта группы	Обязательно. Класс объекта, который идентифицирует группы в иерархии LDAP или AD. ● Для LDAP используйте группуOfUniqueNames или groupOfNames. ● Для AD используйте группу.
Путь группового поиска (необязательно)	Доменное имя, которое определяет путь поиска, который должен использоваться сервисом аутентификации при поиске групп в иерархии LDAP или AD.
Атрибут имени группы	Атрибут, который идентифицирует имя группы. Например, cn.
Атрибут члена группы	Членство пользователя в группе. ● Для LDAP: 7 Когда group Object Class имеет значение groupOfNames , атрибут обычно является участником. 7 Когда класс объекта группы имеет значение groupOfUniqueNames , атрибут обычно является уникальным. ● Для AD значение обычно является участником.
Класс объекта пользователя	Класс объекта, который идентифицирует пользователей в иерархии LDAP или AD. Например, «person».
Путь к пользователю (необязательно)	Доменное имя, которое определяет путь поиска, который должен использоваться сервисом аутентификации при поиске пользователей в иерархии LDAP или AD. Укажите путь поиска относительно базового DN, указанного в параметре configserver-address. Например, для AD укажите cn=users.
Атрибут идентификатора пользователя	Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD. Для LDAP этот атрибут обычно является uid. Для AD этот атрибут обычно имеет значение sAMAccountName.

 

6. По завершении нажмите кнопку «Save».
7. Теперь должно появиться сводка настроенного внешнего ресурса управления:

 

8. В меню Server->User Groups Измените группы пользователей, содержащие права, которые необходимо делегировать группам AD/LDAP или пользователям. Например, чтобы предоставить полные права администратора, группа AD/DN пользователя должны быть указаны в поле Внешние роли ролей администраторов приложений и администраторов безопасности.

Например, CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local

9. После того как группа AD и/или DNS пользователя заданы, нажмите кнопку Сохранить. 
10. Выйдите из интерфейса NWUI и снова войдите в систему с помощью учетной записи AD:

11. Значок пользователя в правом верхнем углу указывает, какая учетная запись пользователя включена.

Можно использовать команду authc_mgmt на сервере NetWorker, чтобы убедиться, что группы/пользователи AD/LDAP отображаются:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Например,

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Дополнительные ресурсы:

• NetWorker. Настройка LDAP/AD с помощью authc_config сценариев
• NetWorker. Настройка аутентификации AD/LDAP
• NetWorker. Как сбросить пароль администратора