Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)

Summary: Cet article de la base de connaissances détaille le processus requis pour configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI). L’option de configuration des référentiels d’autorité externes à partir de l’interface utilisateur NWUI a été mise à disposition dans NetWorker 19.6.x et versions ultérieures. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Afin de configurer une connexion SSL pour l’authentification, l’autorité de certification racine (ou la chaîne d’autorité de certification lorsqu’elle est utilisée) doit être importée dans le fichier cacerts utilisé par le processus authc de NetWorker.

Configuration d’AUTHC pour utiliser SSL

1) Ouvrez une invite de commande administrative/racine dans le répertoire bin Java.
  • Si vous utilisez NetWorker Runtime Environment (NRE) pour l’instance Java du serveur AUTHC, l’emplacement est le suivant:
    • Linux : /opt/nre/java/latest/bin/
    • Windows : C:\Program Files\NRE\java\jrex. x. x_xxx\bin
  • Si vous utilisez Oracle Java, le chemin d’accès au fichier peut varier en fonction de l’emplacement installé et de la version Java utilisée. 
2, a) Affichez la liste des certificats approuvés actuels dans le magasin de certificats de confiance.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • Le mot de passe par défaut du storepass est changeit.
  • Sur les serveurs Windows, la commande keytool serait exécutée à partir du répertoire bin Java, mais ressemblerait à:
    • keytool -list -keystore.. \lib\security\cacerts -storepass changeit
2, b) Passez en revue la liste pour trouver un alias qui correspond à votre serveur LDAPS (cela peut ne pas exister). Vous pouvez utiliser les commandes grep ou findstr du système d’exploitation avec la commande ci-dessus pour affiner la recherche. S’il existe un certificat d’autorité de certification obsolète ou existant à partir de votre serveur LDAPS, supprimez-le à l’aide de la commande suivante:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Remplacez ALIAS_NAME par le nom d’alias du serveur LDAPS collecté à partir de la sortie dans 2, a.
3, a) Utilisez l’outil OpenSSL pour obtenir une copie du certificat d’autorité de certification auprès du serveur LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Par défaut, les hôtes Windows n’incluent pas le programme openssl. S’il n’est pas possible d’installer OpenSSL sur le serveur NetWorker, les certificats peuvent être exportés directement à partir du serveur LDAPS. Toutefois, il est vivement recommandé d’utiliser l’utilitaire OpenSSL. 
  • Linux est généralement livré avec openssl installé. Si vous disposez de serveurs Linux dans l’environnement, vous pouvez utiliser openssl pour collecter/créer les fichiers de certificat. Ils peuvent être copiés et utilisés sur le serveur d’authentification Windows.
  • Si vous ne disposez pas d’OpenSSL et qu’il ne peut pas être installé, votre administrateur AD doit fournir un ou plusieurs certificats en les exportant au format base-64 codé x.509.
  • Remplacez LDAPS_SERVER par le nom d’hôte ou l’adresse IP de votre serveur LDAPS.

3, b) La commande ci-dessus génère le certificat d’autorité de certification ou une chaîne de certificats au format PEM, par exemple:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Remarque : S’il existe une chaîne de certificats, le dernier certificat est le certificat d’autorité de certification. Vous devez importer chaque certificat de la chaîne dans l’ordre (haut en bas) se terminant par le certificat d’autorité de certification.
 
3, c) Copiez le certificat à partir de ---BEGIN CERTIFICATE--- et se terminant par ---END CERTIFICATE--- et collez-le dans un nouveau fichier. S’il existe une chaîne de certificats, vous devez le faire avec chaque certificat.

4) Importez le ou les certificats créés dans 3, c dans le magasin de certificats de confiance JAVA:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Remplacez ALIAS_NAME par un alias pour le certificat importé. Il s’agit généralement du nom du serveur LDAPS. Lors de l’importation de plusieurs certificats pour une chaîne de certificats, chaque certificat doit avoir un nom ALIAS différent et être importé séparément. La chaîne de certificats doit également être importée dans l’ordre de l’étape 3, a (haut en bas).
  • Remplacez PATH_TO\CERT_FILE par l’emplacement du fichier de certificat que vous avez créé à l’étape 3, c.
Vous êtes invité à importer le certificat, saisissez yes et appuyez sur Entrée.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

Remarque : Pipe (|) la commande grep ou findstr du système d’exploitation vers la commande ci-dessus pour affiner le résultat. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Redémarrez les services du serveur NetWorker
 
Linux: nsr_shutdown
service networker démarre

Windows: net stop nsrd
net start nsrd

 
Remarque : Si les services du serveur NetWorker ne sont pas redémarrés, authc ne lit pas le fichier cacerts et ne détecte pas les certificats importés requis pour établir la communication SSL avec le serveur LDAP.

 

Création d’une ressource d’autorité externe « AD over SSL » à partir de l’interface NWUI

1. À partir d’un navigateur Web, accédez au serveur NWUI:
https://nwui-server-name:9090/nwui2. Connectez-vous à l’aide du compte administrateur NetWorker.
3. Dans le menu, développez Serveur d’authentification, puis cliquez sur Autorités externes.
4. Dans Autorités externes, cliquez sur Ajouter+.
5. Renseignez les champs de configuration:

Configuration de base:
Champ Valeur
Nom Nom descriptif, sans espaces pour la configuration LDAP ou AD. Le nombre maximal de caractères est de 256. Spécifiez des caractères ASCII dans le nom de configuration uniquement.
Type de serveur AD sur SSL
Nom du serveur du fournisseur  Spécifie le nom d’hôte ou l’adresse IP du serveur Active Directory
Port Le port 636 est utilisé pour SSL. Ce champ doit être renseigné automatiquement si « AD over SSL » est sélectionné.
Locataire Sélectionnez le tenant s’il est configuré. Si aucun tenant n’est configuré ou requis, vous pouvez utiliser la valeur par défaut. 
La configuration d’un tenant nécessite la syntaxe de connexion suivante: « tenant_name\domain_name\user_name ». Si le tenant par défaut est utilisé (commun), la syntaxe de connexion est « domain_name\user_name ». 

Tenant: conteneur organisationnel de premier niveau pour le service d’authentification NetWorker. Chaque autorité d’authentification externe dans la base de données locale est attribuée à un tenant. Un client peut contenir un ou plusieurs domaines, mais les noms de domaine doivent être uniques au sein du tenant. Le service d’authentification NetWorker crée un nom de tenant intégré par défaut, qui contient le domaine par défaut. La création de plusieurs tenants vous aide à gérer des configurations complexes. Par exemple, les prestataires de services disposant de zones de données restreintes (RDZ) peuvent créer plusieurs tenants pour fournir des services de protection des données isolés aux utilisateurs de tenants.
Domaine Le nom de domaine complet, y compris toutes les valeurs DC; p. ex. example.com
DN d’utilisateur Spécifie le nom unique (DN) complet d’un compte utilisateur disposant d’un accès en lecture complet au répertoire AD.
Mot de passe DN d’utilisateur Spécifie le mot de passe du compte utilisateur utilisé pour accéder à AD Direct et le lire.
 
Configuration avancée:
Classe d’objets de groupe Obligatoire. Classe d’objets qui identifie les groupes dans la hiérarchie LDAP ou AD.
● Pour LDAP, utilisez groupOfUniqueNames ou
groupOfNames.
● Pour AD, utilisez le groupe.
Chemin de recherche de groupe (facultatif) Nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche de groupes dans la hiérarchie LDAP ou AD.
Attribut de nom de groupe Attribut qui identifie le nom du groupe. Par exemple, cn.
Attribut du membre du groupe Appartenance à un groupe de l’utilisateur
au sein d’un groupe.
● Pour LDAP:
○ Lorsque group Object Class est groupOfNames , l’attribut est généralement membre.
○ Lorsque la classe d’objets de groupe est groupOfUniqueNames , l’attribut est généralement uniquemember.
● Pour AD, la valeur est généralement membre.
Classe d’objets utilisateur Classe d’objets qui identifie les utilisateurs dans la hiérarchie LDAP ou AD. Par exemple, personne.
Chemin de recherche utilisateur (facultatif) Nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche d’utilisateurs dans la hiérarchie LDAP ou AD. Spécifiez un chemin de recherche relatif au nom unique de base que vous avez spécifié dans l’option configserver-address. Par exemple, pour AD, spécifiez cn=users.
Attribut iD utilisateur ID utilisateur associé à l’objet utilisateur dans la hiérarchie LDAP ou AD.
Pour LDAP, cet attribut est généralement uid.
Pour AD, cet attribut est généralement sAMAccountName.

 

Remarque : Consultez votre administrateur AD/LDAP pour confirmer quels champs AD/LDAP spécifiques sont nécessaires pour votre environnement.

6. Lorsque vous avez terminé, cliquez sur Enregistrer.
7. Un récapitulatif de la ressource d’autorité externe configurée doit désormais s’afficher:

 

Exemple de ressource AD sur SSL configurée dans la fenêtre NWUI External Authority

8. Dans le menu Server->User Groups, modifiez les groupes d’utilisateurs qui contiennent les droits que vous souhaitez déléguer aux groupes ou utilisateurs AD/LDAP. Par exemple, pour accorder des droits d’administrateur complets, le nom unique du groupe/utilisateur AD doit être spécifié dans le champ Rôles externes des rôles Administrateurs d’applications et Administrateurs de sécurité.

Par exemple : CN=NetWorker_Admins,CN=Utilisateurs,DC=emclab,DC=localAdministrateurs d’applications

9. Une fois que le groupe AD et/ou les DN utilisateur ont été spécifiés, cliquez sur Enregistrer. 
10. Déconnectez-vous de l’interface NWUI et reconnectez-vous à l’aide du compte AD:

Exemple de connexion AD NWUI

11. L’icône de l’utilisateur dans le coin supérieur droit indique le compte utilisateur auquel il est connecté.

Additional Information

Vous pouvez utiliser la commande authc_mgmt sur votre serveur NetWorker pour confirmer que les groupes/utilisateurs AD/LDAP sont visibles:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Par exemple :
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
Remarque : Sur certains systèmes, les commandes authc peuvent échouer avec une erreur de « mot de passe incorrect », même lorsque le mot de passe correct est donné. Cela est dû au fait que le mot de passe est spécifié en tant que texte visible avec l’option « -p ». Si vous rencontrez cette erreur, supprimez « -p password » des commandes. Vous serez invité à saisir le mot de passe masqué après l’exécution de la commande.


Ressources supplémentaires :

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.