NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)
Summary: Dit KB-artikel beschrijft het proces dat is vereist voor het configureren van "AD over SSL" (LDAPS) vanuit de NetWorker Web User Interface (NWUI). De optie voor het configureren van externe autoriteit-storagelocaties van NWUI is beschikbaar gesteld in NetWorker 19.6.x en hoger. ...
This article applies to
This article does not apply to
Instructions
Om een SSL-verbinding voor authenticatie te configureren, moet de root-CA (of CA-keten indien gebruikt) worden geïmporteerd in het cacerts-bestand dat wordt gebruikt door het authc-proces van NetWorker.
3, b) De bovenstaande opdracht voert het CA-certificaat of een keten van certificaten in PEM-indeling uit, bijvoorbeeld:
3, c) Kopieer het certificaat vanaf ---BEGIN CERTIFICATE--- en eindigt op ---END CERTIFICATE--- en plak het in een nieuw bestand. Als er een keten van certificaten is, moet u dit doen met elk certificaat.
4) Importeer het certificaat of de certificaten die zijn gemaakt in 3, c in de JAVA Trust Keystore:
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
6. Klik op Opslaan wanneer u klaar bent.
7. Er zou nu een samenvatting van de geconfigureerde externe autoriteitsresource moeten worden weergegeven:
AUTHC configureren om SSL te gebruiken
1) Open een opdrachtprompt voor beheer/root in de Java bin-map.- Als u NetWorker Runtime Environment (NRE) gebruikt voor de Java-instantie van de AUTHC-server, is de locatie:
- Linux: /opt/nre/java/latest/bin/
- Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
- Als u Oracle Java gebruikt, kan het bestandspad verschillen, afhankelijk van de locatie die is geïnstalleerd en de gebruikte Java-versie.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Het standaardwachtwoord voor de storepass is changeit.
- Op Windows-servers wordt de opdracht keytool uitgevoerd vanuit de Java bin-map, maar ziet er ongeveer als:
- keytool -list -keystore .. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Vervang ALIAS_NAME door de aliasnaam van de LDAPS-server die in 2 van de uitvoer is verzameld, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Windows-hosts bevatten standaard het openssl-programma niet. Als het niet mogelijk is om OpenSSL op de NetWorker-server te installeren, kunnen de certificaten rechtstreeks vanaf de LDAPS-server worden geëxporteerd. Het wordt echter sterk aanbevolen om het hulpprogramma OpenSSL te gebruiken.
- Linux wordt meestal geleverd met openssl geïnstalleerd. Als u Linux-servers in de omgeving hebt, kunt u openssl daar gebruiken om de certificaatbestanden te verzamelen/maken. Deze kunnen worden gekopieerd naar en gebruikt op de Windows authc-server.
- Als u geen OpenSSL hebt en deze niet kunt worden geïnstalleerd, geeft uw AD-beheerder een of meer certificaten door ze te exporteren als Base-64-gecodeerd x.509-indeling.
- Vervang LDAPS_SERVER door de hostnaam of het IP-adres van uw LDAPS server.
3, b) De bovenstaande opdracht voert het CA-certificaat of een keten van certificaten in PEM-indeling uit, bijvoorbeeld:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
OPMERKING: Als er een keten van certificaten is, is het laatste certificaat het CA-certificaat. U moet elk certificaat in de keten importeren in de volgorde (bovenin) die eindigt op het CA-certificaat.
3, c) Kopieer het certificaat vanaf ---BEGIN CERTIFICATE--- en eindigt op ---END CERTIFICATE--- en plak het in een nieuw bestand. Als er een keten van certificaten is, moet u dit doen met elk certificaat.
4) Importeer het certificaat of de certificaten die zijn gemaakt in 3, c in de JAVA Trust Keystore:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Vervang ALIAS_NAME door een alias voor het geïmporteerde certificaat. Dit is meestal de LDAPS-servernaam. Bij het importeren van meerdere certificaten voor een certificaatketen, moet elk certificaat een andere ALIAS-naam hebben en apart worden geïmporteerd. De certificaatketen moet ook worden geïmporteerd in volgorde van stap 3, a (boven naar beneden).
- Vervang PATH_TO\CERT_FILE door de locatie van het cert-bestand dat u hebt gemaakt in stap 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
OPMERKING: Pijp (|) de grep- of findstr-opdracht van het besturingssysteem naar het bovenstaande om het resultaat te beperken.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Start de NetWorker-serverservices opnieuw op.
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
OPMERKING: Als de NetWorker-serverservices niet opnieuw worden opgestart, leest authc het cacerts-bestand niet en worden de geïmporteerde certificaten die nodig zijn voor het tot stand brengen van SSL-communicatie met de LDAP-server niet gedetecteerd.
Externe autoriteitsresource 'AD via SSL' maken vanuit NWUI
1. Vanuit een webbrowser opent u de NWUI-server:
https://nwui-server-name:9090/nwui2. Meld u aan met het NetWorker Administrator-account.
3. Vouw in het menu Authenticatieserver uit en klik op Externe instanties.
4. Klik in Externe instanties op Toevoegen+.
5. Vul de configuratievelden in:
| Veld | Waarde |
| Naam | Een beschrijvende naam, zonder spaties voor de LDAP- of AD-configuratie. Het maximumaantal tekens is 256. Geef alleen ASCII-tekens op in de configuratienaam. |
| Servertype | AD via SSL |
| Naam providerserver | Specificeert de hostnaam of het IP-adres van de Active Directory-server |
| Poort | Poort 636 wordt gebruikt voor SSL. Dit veld wordt automatisch ingevuld als 'AD over SSL' is geselecteerd. |
| Huurder | Selecteer de tenant als deze is geconfigureerd. Als er geen tenant is geconfigureerd of vereist, kunt u de 'standaard' gebruiken. Voor het configureren van een tenant is de volgende aanmeldingssyntaxis "tenant_name\domain_name\user_name" vereist. Als de standaard tenant wordt gebruikt (gemeenschappelijk), is de aanmeldingssyntaxis "domain_name\user_name". Tenant: organisatiecontainer op hoofdniveau voor de NetWorker Authentication Service. Elke externe verificatieautoriteit in de lokale database wordt toegewezen aan een tenant. Een tenant kan een of meer domeinen bevatten, maar de domeinnamen moeten uniek zijn binnen de tenant. De NetWorker Authentication Service maakt één ingebouwde tenantnaam, die het standaarddomein bevat. Het maken van meerdere tenants helpt u bij het beheren van complexe configuraties. Serviceproviders met beperkte datazones (RDZ) kunnen bijvoorbeeld meerdere tenants maken om geïsoleerde databeschermingsservices te bieden aan tenant-gebruikers. |
| Domein | De volledige domeinnaam inclusief alle DC-waarden; bijv.: example.com |
| Gebruikers-DN | Specificeert de volledige distinguished name (DN) van een gebruikersaccount met volledige leestoegang tot de AD-directory. |
| DN-wachtwoord gebruiker | Specificeert het wachtwoord van het gebruikersaccount dat wordt gebruikt om de AD Direct te openen en te lezen |
| Groepsobjectklasse | Vereist. De objectklasse die groepen identificeert in de LDAP- of AD-hiërarchie. ● Voor LDAP gebruikt u groupOf UniqueNames of groupOfNames. ● Voor AD gebruikt u groep. |
| Zoekpad voor groepen (optioneel) | Een DN die het zoekpad specificeert dat de authenticatieservice moet gebruiken bij het zoeken naar groepen in de LDAP- of AD-hiërarchie. |
| Kenmerk Groepsnaam | Het kenmerk dat de groepsnaam identificeert. Bijvoorbeeld cn. |
| Kenmerk groepslid | Het groepslidmaatschap van de gebruiker binnen een groep. ● Voor LDAP: Eken wanneer de groepsobjectklasse groupOfNames is, is het kenmerk meestal lid. Eken wanneer de groepsobjectklasse groupOf UniqueNames is, is het kenmerk meestal uniek. ● Voor AD is de waarde meestal lid. |
| Gebruikersobjectklasse | De objectklasse die de gebruikers in de LDAP- of AD-hiërarchie identificeert. Bijvoorbeeld: persoon. |
| Zoekpad gebruiker (optioneel) | De DN die het zoekpad specificeert dat de authenticatieservice moet gebruiken bij het zoeken naar gebruikers in de LDAP- of AD-hiërarchie. Geef een zoekpad op dat betrekking heeft op de basis-DN die u hebt opgegeven in de optie configserver-adres. Geef bijvoorbeeld voor AD cn=users op. |
| Kenmerk gebruikers-ID | De gebruikers-ID die is gekoppeld aan het gebruikersobject in de LDAP- of AD-hiërarchie. Voor LDAP is dit kenmerk meestal uid. Voor AD is dit kenmerk meestal sAMAccountName. |
OPMERKING: Neem contact op met uw AD/LDAP-beheerder om te controleren welke AD/LDAP-specifieke velden nodig zijn voor uw omgeving.
6. Klik op Opslaan wanneer u klaar bent.
7. Er zou nu een samenvatting van de geconfigureerde externe autoriteitsresource moeten worden weergegeven:
8. Bewerk in het menu Server->Gebruikersgroepen de gebruikersgroepen die de rechten bevatten die u aan AD/LDAP-groepen of gebruikers wilt delegeren. Om bijvoorbeeld volledige beheerdersrechten te verlenen, moet de AD-groep/gebruikers-DN worden opgegeven in het veld Externe rollen van de rollen Applicatiebeheerders en Beveiligingsbeheerders.
Bijvoorbeeld: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Zodra de AD-groep en/of gebruikers-DN's zijn opgegeven, klikt u op Opslaan.
10. Meld u af bij de NWUI-interface en meld u weer aan met behulp van het AD-account:
11. Het gebruikerspictogram in de rechterbovenhoek geeft aan in welk gebruikersaccount is aangemeld.
Additional Information
U kunt de opdracht authc_mgmt op uw NetWorker server gebruiken om te bevestigen dat de AD/LDAP-groepen/gebruikers zichtbaar zijn:
Aanvullende bronnen:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Bijvoorbeeld:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
OPMERKING: Op sommige systemen mislukken de authc-opdrachten met een foutmelding 'incorrect password', zelfs wanneer het juiste wachtwoord wordt gegeven. Dit komt doordat het wachtwoord wordt opgegeven als zichtbare tekst met de optie "-p". Als u dit tegenkomt, verwijdert u '-p password' uit de opdrachten. U wordt gevraagd om het wachtwoord in te voeren dat verborgen is na het uitvoeren van de opdracht.
Aanvullende bronnen: