Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker: Як налаштувати "AD через SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)

Summary: У цій базі знань докладно описано процес, необхідний для настроювання "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI). Можливість налаштування зовнішніх репозиторіїв з NWUI була доступна в NetWorker 19.6.x і пізніших версіях. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Для того, щоб налаштувати SSL-з'єднання для аутентифікації, кореневий ЦС (або ланцюжок ЦС при використанні) повинен бути імпортований у файл cacerts, який використовується процесом authc NetWorker.

Налаштування AUTHC на використання SSL

1) Відкрийте адміністративний / кореневий командний рядок у каталозі Java bin.
  • Якщо ви використовуєте середовище виконання NetWorker (NRE) для екземпляра Java сервера AUTHC, розташування:
    • Linux: /opt/nre/java/latest/bin/
    • Вікна: C:\Program Files\NRE\java\jrex. х. x_xxx\bin
  • Якщо ви використовуєте Oracle Java, шлях до файлу може відрізнятися залежно від встановленого розташування та використовуваної версії Java. 
2, а) Відображення списку поточних довірених сертифікатів у сховищі довіри.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Типовим паролем для storepass є changeit.
  • На серверах Windows команда keytool буде виконуватися з каталогу Java bin, але матиме вигляд приблизно так:
    • keytool -список -keystore .. \lib\security\cacerts -storepass changeit
2, б) Перегляньте список на наявність псевдоніма, який відповідає вашому серверу LDAPS (його може не існувати). Ви можете використовувати команди операційної системи grep або findstr з наведеною вище командою, щоб звузити пошук. Якщо на вашому сервері LDAPS є застарілий або існуючий сертифікат CAPS, видаліть його за допомогою такої команди:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Замініть ALIAS_NAME псевдонімом сервера LDAPS, зібраним з виводу в 2, a.
3, а) Використовуйте інструмент OpenSSL для отримання копії сертифіката ЦС із сервера LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • За замовчуванням хости Windows не включають програму openssl. Якщо неможливо встановити OpenSSL на сервері NetWorker, сертифікати можна експортувати безпосередньо з сервера LDAPS; однак настійно рекомендується використовувати утиліту OpenSSL. 
  • Linux зазвичай поставляється з встановленим openssl, якщо у вас є сервер Linux у середовищі, ви можете використовувати openssl там для збору / створення файлів сертифікатів. Їх можна скопіювати та використовувати на сервері Windows authc.
  • Якщо у вас немає OpenSSL, і його не можна інсталювати, попросіть адміністратора AD надати один або кілька сертифікатів, експортувавши їх у форматі x.509, закодованому Base-64.
  • Замініть LDAPS_SERVER на ім'я хоста або IP-адресу вашого сервера LDAPS.

3, b) Наведена вище команда виводить сертифікат CA або ланцюжок сертифікатів у форматі PEM, наприклад:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
ПРИМІТКА: Якщо є ланцюжок сертифікатів, останнім сертифікатом є сертифікат ЦС. Ви повинні імпортувати кожен сертифікат у ланцюжку в порядку (зверху вниз), закінчуючи сертифікатом ЦС.
 
3, c) Скопіюйте сертифікат, починаючи з ---BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE--- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, ви повинні зробити це з кожним сертифікатом.

4) Імпортуйте сертифікат або сертифікати, створені в 3, c в сховище ключів довіри JAVA:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Замініть ALIAS_NAME псевдонімом імпортованого сертифіката. Зазвичай це ім'я сервера LDAPS. Під час імпорту кількох сертифікатів для ланцюжка сертифікатів кожен сертифікат повинен мати інше ім'я ALIAS та імпортуватися окремо. Ланцюжок сертифікатів також потрібно імпортувати в порядку з кроку 3, a (зверху вниз).
  • Замініть PATH_TO\CERT_FILE розташуванням файлу cert, створеного на кроці 3, c.
Буде запропоновано імпортувати сертифікат, введіть Yes і натисніть клавішу Enter.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

ПРИМІТКА: Труба (|) Команда операційної системи grep або findstr до вищезазначеного, щоб звузити результат. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Перезапустіть служби сервера NetWorker
 
Linux: nsr_shutdown
служба networker запускає

Windows: Чиста зупинка NSRD Net Start NSRD

 
ПРИМІТКА: Якщо серверні служби NetWorker не перезапущені, authc не прочитає файл cacerts і не виявить імпортовані сертифікати, необхідні для встановлення зв'язку SSL із сервером LDAP.

 

Створення ресурсу зовнішнього органу "AD over SSL" з NWUI

1. З веб-браузера відкрийте сервер NWUI:
https://nwui-server-name:9090/nwui2. Увійдіть за допомогою облікового запису адміністратора NetWorker.
3. У меню розгорніть пункт Сервер автентифікації (Authentication Server) і натисніть кнопку External Authority (Зовнішні органи).
4. Від зовнішніх органів натисніть кнопку Додати+.
5. Заповніть поля конфігурації:

Базова конфігурація:
Поле Цінність
Ім'я Описове ім'я без пробілів для конфігурації LDAP або AD. Максимальна кількість символів – 256. Укажіть символи ASCII лише в імені конфігурації.
Тип сервера AD через SSL
Ім'я сервера постачальника  Визначає ім'я хоста або IP-адресу сервера Active Directory
Порт Порт 636 використовується для SSL, це поле має заповнюватися автоматично, якщо вибрано "AD over SSL".
Орендаря Виберіть клієнта, якщо його настроєно. Якщо жоден клієнт не налаштований або не потрібен, можна скористатися функцією «за замовчуванням». 
Для налаштування клієнта потрібен наступний синтаксис входу "tenant_name\domain_name\user_name". Якщо використовується клієнт за замовчуванням (загальний), синтаксис входу – "domain_name\user_name". 

Клієнт — організаційний контейнер верхнього рівня для служби автентифікації NetWorker. Кожен зовнішній центр автентифікації в локальній базі даних призначається клієнту. Клієнт може містити один або кілька Доменів, але доменні імена мають бути унікальними в межах клієнта. Служба автентифікації NetWorker створює одне вбудоване ім'я клієнта Default, яке містить домен Default. Створення кількох клієнтів допомагає керувати складними конфігураціями. Наприклад, постачальники послуг із зонами обробки даних з обмеженим доступом (RDZ) можуть створювати кілька клієнтів, щоб надавати окремі послуги із захисту даних користувачам-клієнтам.
Домен Повне доменне ім'я, включаючи всі значення DC; наприклад: example.com
Користувач DN Визначає повне відмітне ім'я (DN) облікового запису користувача, який має повний доступ до читання каталогу AD.
Пароль DN користувача Указує пароль облікового запису користувача, який використовується для доступу та читання AD Direct
 
Розширена конфігурація:
Групувати клас об'єкта Необхідний. Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD.
● Для LDAP використовуйте groupOfUniqueNames або
groupOfNames.
● Для AD використовуйте групу.
Шлях пошуку групи (необов'язково) DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку груп в ієрархії LDAP або AD.
Атрибут імені групи Атрибут, який ідентифікує ім'я групи. Наприклад, кн.
Атрибут учасника групи Групове членство користувача
в групі.
● Для LDAP:
○ Коли класом Group Object є groupOfNames , атрибут зазвичай є членом.
○ Коли класом Group Object є groupOfUniqueNames , атрибут зазвичай є uniquemember.
● Для AD значення зазвичай є учасником.
Клас користувацького об'єкта Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD. Наприклад, людина.
Шлях пошуку користувача (необов'язково) DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку користувачів в ієрархії LDAP або AD. Вкажіть шлях пошуку відносно базової DN, яку ви вказали в параметрі configserver-address. Наприклад, для AD вкажіть cn=users.
Атрибут ідентифікатора користувача Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD.
Для LDAP цей атрибут зазвичай використовується.
Для AD цим атрибутом зазвичай є sAMAccountName.

 

ПРИМІТКА: Проконсультуйтеся з адміністратором AD/LDAP, щоб дізнатися, які поля AD/LDAP потрібні для вашого середовища.

6. Коли закінчите , натисніть зберегти.
7. Тепер має з'явитися зведення настроєного зовнішнього авторитетного ресурсу:

 

Приклад настроєного ресурсу AD over SSL у вікні зовнішнього органу NWUI

8. У меню Групи користувачів > сервера Відредагуйте групи користувачів, що містять права, які ви хочете делегувати групам AD/LDAP або користувачам. Наприклад, щоб надати повні права адміністратора, DN групи AD / користувача слід вказати в полі Зовнішні ролі ролей адміністраторів програм і адміністраторів безпеки.

наприклад: CN=NetWorker_Admins,CN=Користувачі,DC=emclab,DC=локальнийАдміністратори додатків

9. Указавши групу оголошень та/або DN користувачів, натисніть кнопку Зберегти. 
10. Вийдіть з інтерфейсу NWUI та увійдіть знову за допомогою облікового запису AD:

Приклад входу в NWUI AD

11. Піктограма користувача у верхньому правому куті вказує, у який обліковий запис користувача виконано вхід.

Additional Information

Ви можете скористатися командою authc_mgmt на сервері NetWorker, щоб переконатися, що групи або користувачі AD/LDAP відображаються:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
наприклад:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
ПРИМІТКА: У деяких системах команди authc можуть зазнати невдачі з помилкою "неправильний пароль", навіть якщо вказано правильний пароль. Це пов'язано з тим, що пароль вказується як видимий текст з опцією "-p". Якщо ви зіткнулися з цим, приберіть з команд "-p password". Вам буде запропоновано ввести пароль, прихований після запуску команди.


Додаткові ресурси:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.