NetWorker: NetWorker Web Kullanıcı Arabiriminden (NWUI) "SSL üzerinden AD" (LDAPS) yapılandırma

Kimlik doğrulaması için ssl bağlantısını yapılandırmak için netWorker'in kimlik doğrulama işlemi tarafından kullanılan cacerts dosyasına kök CA (veya kullanıldığında CA zinciri) aktarılmalıdır.

SSL kullanmak için AUTHC'yi yapılandırma

1) Java bin dizininde bir yönetici/kök komut istemi açın.

• AUTHC sunucusunun Java örneği için NetWorker Runtime Environment (NRE) kullanıyorsanız konum:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x.x_xxx\bin
• Oracle Java kullanıyorsanız dosya yolu, yüklü olan konuma ve kullanılan Java sürümüne bağlı olarak farklılık gösterebilir. 

2, a) Trust store'da geçerli güvenilir sertifikaların listesini görüntüleme.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Storepass için varsayılan parola changeit'dir.
• Windows sunucularında keytool komutu Java bin dizininden çalıştırılır ancak aşağıdaki gibi görünür:
  • keytool -list -keystore .. \lib\security\cacerts -storepass changeit

2, b) LDAPS sunucuyla eşleşen diğer adlar için listeye bakın (bu mevcut olabilir). Aramanızı daraltmak için yukarıdaki komutla işletim sistemigrep veya findstr komutlarını kullanılabilir. LDAPS sisteminizde eski veya mevcut bir CA sertifikası varsa bunu aşağıdaki komutla silin:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Bu ALIAS_NAME, 2' deki çıktıdan toplanan LDAPS sunucusunun diğer adı ile değiştirin.

3, a) CA sertifikasının bir kopyasını LDAPS sunucusundan almak için OpenSSL aracını kullanın.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• Varsayılan olarak Windows ana bilgisayarları, openssl programı içermez. OpenSSL'yi NetWorker sunucusuna yüklemek mümkün değilse sertifikalar doğrudan LDAPS sunucusundan dışa aktarabilirsiniz; ancak OpenSSL yardımcı programını kullanmak kesinlikle önerilir. 
• Linux genellikle openssl yüklü olarak gelir. Ortamda Linux sunucularına sahipseniz sertifika dosyalarını toplamak/oluşturmak için openssl'yi burada da bilgisayarınızda bulabilirsiniz. Bunlar, Windows authc sunucusuna kopyalanır ve bu sunucuda kullanılabilir.
• OpenSSL'niz yoksa ve yükilemezse AD yöneticinizin Bunları Base-64 kodlanmış x.509 biçimi olarak dışa aktararak bir veya daha fazla sertifika sağlamasını silemezsiniz.
• Bu LDAPS_SERVER LDAPS sisteminizin ana bilgisayar adı veya IP adresiyle değiştirin.

3, b) Yukarıdaki komut CA sertifikasını veya sertifika zincirini PEM biçiminde sunar, ör.

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Sertifikayı --- SERTIFIKADAN başlayarak--- bitişini ---END CERTIFICATE--- ile biteni kopyalayın ve yeni bir dosyaya yapıştırın. Bir sertifika zinciri varsa bunu her sertifikayla birlikte gerçekleştirin.

4) 3, c olarak oluşturulan sertifikayı veya sertifikaları JAVA trust anahtar deposuna içe aktarin:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• İçe ALIAS_NAME sertifika için diğer adla değiştirin. Bu genellikle LDAPS sunucu adıdır. Bir sertifika zinciri için birden fazla sertifika içe aktarılırken, her sertifikanın farklı bir ALIAS adı olması ve ayrı olarak içe aktarılmış olması gerekir. Sertifika zincirinin de 3. adımdan (yukarıdan aşağı) sırayla içe aktarılmış olması gerekir.
• PATH_TO\CERT_FILE 3. adımda oluşturduğunuz sertifika dosyasının konumuyla değiştirin.

Sertifikayı içe aktarmanız istemli, evet yazın ve Enter tuşuna basın.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) NetWorker sunucu hizmetlerini yeniden başlatın. 
 
Linux: nsr_shutdown
ağ aygıtı Windows'u
başlatın: net stop nsrd net start nsrd (net stop nsrd
net start nsrd)
 

 

NWUI'dan "SSL üzerinden AD" harici yetki kaynağı oluşturma

1. Bir web tarayıcısında NWUI sunucusuna erişin:
https://nwui-server-name:9090/nwui2. NetWorker Yönetici hesabını kullanarak oturum açın.
3. Menüden Authentication Server (Kimlik Doğrulama Sunucusu) öğesini genişletin ve External Authorities (Harici Yetkilileri) öğesine tıklayın.
4. External Authorities (Harici Yetkilileri) öğesine tıklayın.
5. Yapılandırma alanlarını doldurun:

Temel Yapılandırma:

Field (Alan)	Değer
Ad	LDAP veya AD yapılandırması için boşluklar olmayan açıklayıcı bir ad. Maksimum karakter sayısı 256'dır. Yalnızca yapılandırma adına ASCII karakterlerini belirtin.
Sunucu Türü	SSL üzerinden AD
Sağlayıcı Sunucu Adı	Active Directory Sunucusunun ana bilgisayar adını veya IP adresini belirtir
Port (Bağlantı Noktası)	SSL için bağlantı noktası 636 kullanılır. "SSL üzerinden AD" seçilirse bu alan otomatik olarak girilmelidir.
Kiracı	Yapılandırılmışsa kiracıyı seçin. Kiracı yapılandırılmamışsa veya gerekliyse "default" (varsayılan) öğesini seçebilirsiniz.  Kiracıyı yapılandırma işlemi için "tenant_name\domain_name\user_name" oturum açma söz dizimi gerekir. Varsayılan kiracı kullanılıyorsa (ortak) oturum açma söz dizimi "domain_name\user_name."  Tenant (Kiracı): NetWorker Kimlik Doğrulama Hizmeti için üst düzey kuruluş kapsayıcısı. Yerel veritabanındaki her harici kimlik doğrulama yetkilisi bir kiracıya atanmıştır. Kiracı bir veya daha fazla Etki Alanı içerebilir ancak etki alanı adları kiracı içinde benzersiz olmalıdır. NetWorker Kimlik Doğrulama Hizmeti, Varsayılan etki alanı içeren bir yerleşik kiracı adı Varsayılan oluşturur. Birden fazla kiracı oluşturmak karmaşık yapılandırmaları yönetmenize yardımcı olur. Örneğin, sınırlı veri bölgeli (RDZ) servis sağlayıcıları, kiracı kullanıcılarına yalıtılmış veri koruma hizmetleri sağlamak için birden fazla kiracı oluşturabilir.
Domain (Etki Alanı)	Tüm DC değerlerini içeren tam etki alanı adı; ör. example.com
Kullanıcı DN'si	AD dizinine tam okuma erişimi olan bir kullanıcı hesabı için tam ayırt edici adı (DN) belirtir.
Kullanıcı DN Parolası	AD Direct'e erişmek ve okumak için kullanılan kullanıcı hesabı parolasını belirtir

 

Gelişmiş Yapılandırma:

Grup Nesne Sınıfı	Gerekli. LDAP veya AD hiyerarşisinde grupları tanımlayan nesne sınıfı. ● LDAP için groupOfUniqueNames veya groupOfNames kullanın. ● AD için grubu kullanın.
Grup Arama Yolu (isteğe bağlı)	LDAP veya AD hiyerarşisinde gruplar ararken kimlik doğrulama hizmetinin kullanması gereken arama yolunu belirten bir DN.
Grup Adı Özniteliği	Grup adını tanımlayan öznitelik. Örneğin, cn.
Grup Üyesi Özniteliği	Bir grup içindeki kullanıcının grup üyeliği. ● LDAP için: cci Grup Nesne Sınıfı groupOfNames olduğunda öznitelik genellikle üyedir. cci Grup Nesne Sınıfı groupOfUniqueNames olduğunda öznitelik genellikle benzersiz üyedir. ● AD için değer genellikle üyedir.
Kullanıcı Nesne Sınıfı	LDAP veya AD hiyerarşisinde kullanıcıları tanımlayan nesne sınıfı. Örneğin, kişi.
Kullanıcı Arama Yolu (isteğe bağlı)	LDAP veya AD hiyerarşisinde kullanıcıları ararken kimlik doğrulama hizmetinin kullanması gereken arama yolunu belirten DN. Configserver-address (yapılandırma sunucusu adresi) seçeneğinde belirttiğiniz temel DN'ye göre bir arama yolu belirtin. Örneğin, AD için cn=users belirtin.
Kullanıcı Kimliği Özniteliği	LDAP veya AD hiyerarşisinde kullanıcı nesnesiyle ilişkili kullanıcı kimliği. LDAP için bu öznitelik genellikle uid'dır. AD için bu öznitelik genellikle sAMAccountName'dır.

 

6. Tamamlandığında Save (Kaydet) öğesine tıklayın.
7. Yapılandırılmış harici yetkili kaynağının bir özeti görüntülenmelidir:

 

8. Server->User Groups menüsünden AD/LDAP Gruplarına veya Kullanıcılara devred olmak istediğiniz hakları içeren Kullanıcı Gruplarını düzenleme. Örneğin tam Yönetici hakları sağlamak için AD grubu/kullanıcı DN'si, Uygulama Yöneticileri ve Güvenlik Yöneticileri rollerinin Harici Roller alanında belirtilmelidir.

Örneğin: CN=NetWorker_Admins,CN=Kullanıcılar,DC=emclab,DC=yerel

9. AD grubu ve/veya kullanıcı DN'leri belirtildikten sonra Save (Kaydet) öğesine tıklayın. 
10. NWUI arabiriminde oturumu kapatma ve AD hesabını kullanarak tekrar oturum açma:

11. Sağ üst köşedeki kullanıcı simgesi, hangi kullanıcı hesabında oturum olduğunu gösterir.

AD/LDAP gruplarının/authc_mgmt olduğunu onaylamak için NetWorker sunucudaki authc_mgmt komutunu kullanabilirsiniz:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Örneğin:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Ek Kaynaklar:

• NetWorker: Komut dosyalarını kullanarak LDAP/AD'yi authc_config etme
• NetWorker: AD/LDAP Kimlik Doğrulamasını Ayarlama (İngilizce)
• NetWorker: Yönetici parolasını sıfırlama