NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)

Para configurar uma conexão SSL para autenticação, a CA raiz (ou cadeia ca quando usada) deve ser importada para o arquivo cacerts usado pelo processo authc do NetWorker.

Configurando o AUTHC para usar SSL

1) Abra um prompt de comando administrativo/root no diretório do java bin.

• Se você estiver usando o NetWorker Runtime Environment (NRE) para a instância Java do servidor AUTHC, o local será:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x xx_xxx\bin
• Se você estiver usando o Oracle Java, o caminho do arquivo pode ser diferente, dependendo do local instalado e da versão do Java usada. 

2, a) Exibe uma lista de certificados confiáveis atuais no armazenamento confiável.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• A senha padrão do storepass é changeit.
• Em servidores Windows, o comando keytool seria executado a partir do diretório bin java, mas seria semelhante a:
  • keytool -list -keystore.. \lib\security\cacerts -storepass changeit

2, b) Analise a lista para obter um alias que corresponda ao servidor LDAPS (isso pode não existir). Você pode usar os comandos grep oufindstr do sistema operacional com o comando acima para restringir a pesquisa. Se houver um certificado CA desatualizado ou existente de seu servidor LDAPS, exclua-o com o seguinte comando:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Substitua ALIAS_NAME pelo nome de alias do servidor LDAPS coletado do resultado em 2, a.

3, a) Use a ferramenta OpenSSL para obter uma cópia do certificado CA do servidor LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• Por padrão, os hosts do Windows não incluem o programa openssl. Se não for possível instalar o OpenSSL no servidor do NetWorker, os certificados poderão ser exportados diretamente do servidor LDAPS; no entanto, é altamente recomendável usar o utilitário OpenSSL. 
• O Linux normalmente vem com o openssl instalado. Se você tiver servidores Linux no ambiente, poderá usar o openssl para coletar/criar os arquivos de certificado. Eles podem ser copiados e usados no servidor authc do Windows.
• Se você não tiver o OpenSSL e ele não puder ser instalado, faça com que o administrador do AD forneça um ou mais certificados exportando-os como o formato Base-64 encoded x.509.
• Substitua LDAPS_SERVER pelo hostname ou endereço IP do servidor LDAPS.

3, b) O comando acima gera o certificado ca ou uma cadeia de certificados no formato PEM, por exemplo:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Copie o certificado iniciando ---BEGIN CERTIFICATE--- e terminando com ---END CERTIFICATE--- e cole-o em um novo arquivo. Se houver uma cadeia de certificados, você deve fazer isso com cada certificado.

4) Importe o certificado ou certificados criados em 3, c para o keystore de confiança java:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Substitua ALIAS_NAME por um alias para o certificado importado. Normalmente, esse é o nome do servidor LDAPS. Ao importar vários certificados para uma cadeia de certificados, cada certificado deve ter um nome alias diferente e ser importado separadamente. A cadeia de certificados também deve ser importada na ordem da etapa 3, a (de cima para baixo).
• Substitua PATH_TO\CERT_FILE pelo local do arquivo cert que você criou na etapa 3, c.

Você será solicitado a importar o certificado, digite yes e pressione Enter.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Reinicie os serviços de servidor do NetWorker. 
 
Linux: nsr_shutdown
networker de serviço iniciar o
Windows: net stop nsrd
net start nsrd
 

 

Criando um recurso de autoridade externa "AD over SSL" a partir da NWUI

1. Em um navegador da Web, acesse o servidor NWUI:
https://nwui-server-name:9090/nwui2. Faça log-in usando a conta de administrador do NetWorker.
3. No menu, expanda Authentication Server e clique em External Authorities.
4. Em Autoridades externas, clique em Adicionar+.
5. Preencha os campos de configuração:

Configuração básica:

Campo	Valor
Nome	Um nome descritivo, sem espaços para a configuração de LDAP ou AD. O número máximo de caracteres é 256. Especifique os caracteres ASCII somente no nome da configuração.
Tipo de servidor	AD sobre SSL
Nome do servidor provedor	Especifica o hostname ou endereço IP do Active Directory Server
Porta	A porta 636 é usada para SSL; esse campo deve ser preenchido automaticamente se "AD over SSL" estiver selecionado.
Inquilino	Selecione o tenant se configurado. Se nenhum tenant estiver configurado ou necessário, você poderá usar o "padrão".  A configuração de um tenant exige a seguinte sintaxe de log-in "tenant_name\domain_name\user_name". Se o tenant padrão for usado (comum), a sintaxe de log-in será "domain_name\user_name".  Tenant — contêiner organizacional de nível superior para o serviço de autenticação do NetWorker. Cada autoridade de autenticação externa no banco de dados local é atribuída a um tenant. Um tenant pode conter um ou mais domínios, mas os nomes de domínio devem ser exclusivos no tenant. O serviço de autenticação do NetWorker cria um nome de tenant integrado padrão, que contém o domínio padrão. A criação de vários tenants ajuda você a gerenciar configurações complexas. Por exemplo, provedores de serviços com zonas de dados restritas (RDZ) podem criar vários tenants para fornecer serviços isolados de proteção de dados aos usuários de tenant.
Domain	O nome completo do domínio, incluindo todos os valores cc; por exemplo: example.com
User DN	Especifica o DN (Distinguished Name, nome distinto) completo de uma conta de usuário que tem acesso completo de leitura ao diretório do AD.
User DN Password	Especifica a senha da conta de usuário usada para acessar e ler o direto do AD

 

Configuração avançada:

Classe de objeto do grupo	Necessário. A classe de objeto que identifica grupos na hierarquia LDAP ou AD. ● Para LDAP, use groupOfUniqueNames ou groupOfNames. ● Para OD, use o grupo.
Caminho de pesquisa de grupo (opcional)	Um DN que especifica o caminho de pesquisa que o serviço de autenticação deve usar ao pesquisar grupos na hierarquia LDAP ou AD.
Atributo de nome do grupo	O atributo que identifica o nome do grupo. Por exemplo, cn.
Atributo de membro do grupo	A lista de membros do grupo do usuário em um grupo. ● Para LDAP: 6 Quando a Classe de objeto de grupo é groupOfNames , o atributo é comumente membro. 6 Quando a Classe de objeto de grupo é groupOfUniqueNames , o atributo é geralmente exclusivo. ● Para o AD, o valor geralmente é membro.
Classe de objeto do usuário	A classe de objeto que identifica os usuários na hierarquia LDAP ou AD. Por exemplo, pessoa.
Caminho de pesquisa do usuário (opcional)	O DN que especifica o caminho de pesquisa que o serviço de autenticação deve usar ao pesquisar usuários na hierarquia LDAP ou AD. Especifique um caminho de pesquisa relativo ao DN base que você especificou na opção configserver-address. Por exemplo, para OD, especifique cn=users.
Atributo de ID do usuário	O ID do usuário associado ao objeto do usuário na hierarquia LDAP ou AD. Para LDAP, esse atributo é normalmente id exclusivo. Para o AD, esse atributo é normalmente sAMAccountName.

 

6. Quando terminar, clique em Salvar.
7. Um resumo do recurso de autoridade externa configurada agora deve ser exibido:

 

8. No menu Server->User Groups Edit the User Groups that contain the user groups that want to delegate to AD/LDAP Groups or Users. Por exemplo, para conceder direitos de administrador completos, o DN do grupo/usuário do AD deve ser especificado no campo Funções externas das funções administradores de aplicativos e administradores de segurança.

Por exemplo: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local

9. Depois que o grupo do AD e/ou os DNs de usuário tiverem sido especificados, clique em Save. 
10. Faça log-out da interface NWUI e faça log-in novamente usando a conta do AD:

11. O ícone de usuário no canto superior direito indica qual conta de usuário está assinada.

Você pode usar o authc_mgmt em seu servidor do NetWorker para confirmar se os grupos/usuários do AD/LDAP estão visíveis:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Por exemplo:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Recursos adicionais:

• NetWorker: Como configurar o LDAP/AD usando authc_config scripts
• NetWorker: Como configurar a autenticação do AD/LDAP
• NetWorker: Como redefinir a senha do administrador