NetWorker: Як налаштувати "AD через SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)

Для того, щоб налаштувати SSL-з'єднання для аутентифікації, кореневий ЦС (або ланцюжок ЦС при використанні) повинен бути імпортований у файл cacerts, який використовується процесом authc NetWorker.

Налаштування AUTHC на використання SSL

1) Відкрийте адміністративний / кореневий командний рядок у каталозі Java bin.

• Якщо ви використовуєте середовище виконання NetWorker (NRE) для екземпляра Java сервера AUTHC, розташування:
  • Linux: /opt/nre/java/latest/bin/
  • Вікна: C:\Program Files\NRE\java\jrex. х. x_xxx\bin
• Якщо ви використовуєте Oracle Java, шлях до файлу може відрізнятися залежно від встановленого розташування та використовуваної версії Java. 

2, а) Відображення списку поточних довірених сертифікатів у сховищі довіри.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Типовим паролем для storepass є changeit.
• На серверах Windows команда keytool буде виконуватися з каталогу Java bin, але матиме вигляд приблизно так:
  • keytool -список -keystore .. \lib\security\cacerts -storepass changeit

2, б) Перегляньте список на наявність псевдоніма, який відповідає вашому серверу LDAPS (його може не існувати). Ви можете використовувати команди операційної системи grep або findstr з наведеною вище командою, щоб звузити пошук. Якщо на вашому сервері LDAPS є застарілий або існуючий сертифікат CAPS, видаліть його за допомогою такої команди:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Замініть ALIAS_NAME псевдонімом сервера LDAPS, зібраним з виводу в 2, a.

3, а) Використовуйте інструмент OpenSSL для отримання копії сертифіката ЦС із сервера LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• За замовчуванням хости Windows не включають програму openssl. Якщо неможливо встановити OpenSSL на сервері NetWorker, сертифікати можна експортувати безпосередньо з сервера LDAPS; однак настійно рекомендується використовувати утиліту OpenSSL. 
• Linux зазвичай поставляється з встановленим openssl, якщо у вас є сервер Linux у середовищі, ви можете використовувати openssl там для збору / створення файлів сертифікатів. Їх можна скопіювати та використовувати на сервері Windows authc.
• Якщо у вас немає OpenSSL, і його не можна інсталювати, попросіть адміністратора AD надати один або кілька сертифікатів, експортувавши їх у форматі x.509, закодованому Base-64.
• Замініть LDAPS_SERVER на ім'я хоста або IP-адресу вашого сервера LDAPS.

3, b) Наведена вище команда виводить сертифікат CA або ланцюжок сертифікатів у форматі PEM, наприклад:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Скопіюйте сертифікат, починаючи з ---BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE--- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, ви повинні зробити це з кожним сертифікатом.

4) Імпортуйте сертифікат або сертифікати, створені в 3, c в сховище ключів довіри JAVA:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Замініть ALIAS_NAME псевдонімом імпортованого сертифіката. Зазвичай це ім'я сервера LDAPS. Під час імпорту кількох сертифікатів для ланцюжка сертифікатів кожен сертифікат повинен мати інше ім'я ALIAS та імпортуватися окремо. Ланцюжок сертифікатів також потрібно імпортувати в порядку з кроку 3, a (зверху вниз).
• Замініть PATH_TO\CERT_FILE розташуванням файлу cert, створеного на кроці 3, c.

Буде запропоновано імпортувати сертифікат, введіть Yes і натисніть клавішу Enter.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Перезапустіть служби сервера NetWorker. 
 
Linux: nsr_shutdown
служба networker запускає
Windows: Чиста зупинка NSRD Net Start NSRD

 

 

Створення ресурсу зовнішнього органу "AD over SSL" з NWUI

1. З веб-браузера відкрийте сервер NWUI:
https://nwui-server-name:9090/nwui2. Увійдіть за допомогою облікового запису адміністратора NetWorker.
3. У меню розгорніть пункт Сервер автентифікації (Authentication Server) і натисніть кнопку External Authority (Зовнішні органи).
4. Від зовнішніх органів натисніть кнопку Додати+.
5. Заповніть поля конфігурації:

Базова конфігурація:

Поле	Цінність
Ім'я	Описове ім'я без пробілів для конфігурації LDAP або AD. Максимальна кількість символів – 256. Укажіть символи ASCII лише в імені конфігурації.
Тип сервера	AD через SSL
Ім'я сервера постачальника	Визначає ім'я хоста або IP-адресу сервера Active Directory
Порт	Порт 636 використовується для SSL, це поле має заповнюватися автоматично, якщо вибрано "AD over SSL".
Орендаря	Виберіть клієнта, якщо його настроєно. Якщо жоден клієнт не налаштований або не потрібен, можна скористатися функцією «за замовчуванням».  Для налаштування клієнта потрібен наступний синтаксис входу "tenant_name\domain_name\user_name". Якщо використовується клієнт за замовчуванням (загальний), синтаксис входу – "domain_name\user_name".  Клієнт — організаційний контейнер верхнього рівня для служби автентифікації NetWorker. Кожен зовнішній центр автентифікації в локальній базі даних призначається клієнту. Клієнт може містити один або кілька Доменів, але доменні імена мають бути унікальними в межах клієнта. Служба автентифікації NetWorker створює одне вбудоване ім'я клієнта Default, яке містить домен Default. Створення кількох клієнтів допомагає керувати складними конфігураціями. Наприклад, постачальники послуг із зонами обробки даних з обмеженим доступом (RDZ) можуть створювати кілька клієнтів, щоб надавати окремі послуги із захисту даних користувачам-клієнтам.
Домен	Повне доменне ім'я, включаючи всі значення DC; наприклад: example.com
Користувач DN	Визначає повне відмітне ім'я (DN) облікового запису користувача, який має повний доступ до читання каталогу AD.
Пароль DN користувача	Указує пароль облікового запису користувача, який використовується для доступу та читання AD Direct

 

Розширена конфігурація:

Групувати клас об'єкта	Необхідний. Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD. ● Для LDAP використовуйте groupOfUniqueNames або groupOfNames. ● Для AD використовуйте групу.
Шлях пошуку групи (необов'язково)	DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку груп в ієрархії LDAP або AD.
Атрибут імені групи	Атрибут, який ідентифікує ім'я групи. Наприклад, кн.
Атрибут учасника групи	Групове членство користувача в групі. ● Для LDAP: ○ Коли класом Group Object є groupOfNames , атрибут зазвичай є членом. ○ Коли класом Group Object є groupOfUniqueNames , атрибут зазвичай є uniquemember. ● Для AD значення зазвичай є учасником.
Клас користувацького об'єкта	Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD. Наприклад, людина.
Шлях пошуку користувача (необов'язково)	DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку користувачів в ієрархії LDAP або AD. Вкажіть шлях пошуку відносно базової DN, яку ви вказали в параметрі configserver-address. Наприклад, для AD вкажіть cn=users.
Атрибут ідентифікатора користувача	Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD. Для LDAP цей атрибут зазвичай використовується. Для AD цим атрибутом зазвичай є sAMAccountName.

 

6. Коли закінчите , натисніть зберегти.
7. Тепер має з'явитися зведення настроєного зовнішнього авторитетного ресурсу:

 

8. У меню Групи користувачів > сервера Відредагуйте групи користувачів, що містять права, які ви хочете делегувати групам AD/LDAP або користувачам. Наприклад, щоб надати повні права адміністратора, DN групи AD / користувача слід вказати в полі Зовнішні ролі ролей адміністраторів програм і адміністраторів безпеки.

наприклад: CN=NetWorker_Admins,CN=Користувачі,DC=emclab,DC=локальний

9. Указавши групу оголошень та/або DN користувачів, натисніть кнопку Зберегти. 
10. Вийдіть з інтерфейсу NWUI та увійдіть знову за допомогою облікового запису AD:

11. Піктограма користувача у верхньому правому куті вказує, у який обліковий запис користувача виконано вхід.

Ви можете скористатися командою authc_mgmt на сервері NetWorker, щоб переконатися, що групи або користувачі AD/LDAP відображаються:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

наприклад:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Додаткові ресурси:

• NetWorker: Як налаштувати LDAP/AD за допомогою authc_config скриптів
• NetWorker: Як налаштувати аутентифікацію AD / LDAP
• NetWorker: Як скинути пароль адміністратора