Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)

Summary: 本知识库文章详细介绍了从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)所需的流程。在 NetWorker 19.6.x 及更高版本中提供了从 NWUI 配置外部机构存储库的选项。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

为了配置用于身份验证的 SSL 连接,必须将根 CA(或使用时 CA 链)导入到 NetWorker 的 authc 进程使用的 cacerts 文件中。

配置 AUTHC 以使用 SSL

1) 在 Java bin 目录中打开管理/root 命令提示符。
  • 如果您将 NetWorker Runtime Environment (NRE) 用于 AUTHC 服务器的 Java 实例,则位置为:
    • Linux:/opt/nre/java/latest/bin/
    • Windows:C:\Program Files\NRE\java\jrexx.x_xxx\bin
  • 如果您使用的是 Oracle Java,则文件路径可能会因安装的位置和使用的 Java 版本而异。 
2、 a) 显示信任存储中的当前受信任证书的列表。
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • storepass 的默认密码为 changeit
  • 在 Windows 服务器上,keytool 命令将从 Java bin 目录运行,但看起来类似于:
    • keytool -list -keystore ..\lib\security\cacerts -storepass changeit
2,b) 查看与 LDAPS 服务器匹配的别名的列表(这可能不存在)。您可以将操作系统 grepfindstr 命令与上述命令配合使用,以缩小搜索范围。如果 LDAPS 服务器存在过时或现有的 CA 证书,请使用以下命令将其删除:
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • ALIAS_NAME替换为从输出中收集的 LDAPS 服务器的别名,以 2,a。
3, a) 使用 OpenSSL 工具从 LDAPS 服务器获取 CA 证书的拷贝。
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • 默认情况下,Windows 主机不包括 openssl 程序。如果无法在 NetWorker 服务器上安装 OpenSSL,则可以直接从 LDAPS 服务器导出证书;但是,强烈建议使用 OpenSSL 实用程序。 
  • Linux 通常随附已安装 openssl,如果环境中有 Linux 服务器,则可以使用 openssl 来收集/创建证书文件。这些可以拷贝到 Windows authc 服务器并用于 Windows authc 服务器。
  • 如果您没有 OpenSSL,并且无法安装,则管理员通过将证书导出为 Base-64 编码 x.509 格式来提供一个或多个证书。
  • LDAPS_SERVER替换为 LDAPS 服务器的主机名或 IP 地址。

3、 b) 上述命令以 PEM 格式输出 CA 证书或证书链,例如:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
提醒:如果有证书链,则最后一个证书是 CA 证书。您必须按以 CA 证书结尾的顺序(自上而下)导入链中的每个证书。
 
3、 c) 从---BEGIN证书---并以---END CERTIFICATE结尾---复制证书并粘贴到新文件中。如果存在证书链,则必须对每个证书执行此操作。

4) 将 3 中创建的证书或证书导入 JAVA 信任密钥库:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • ALIAS_NAME替换为导入的证书的别名。通常,这是 LDAPS 服务器名称。导入证书链的多个证书时,每个证书必须具有不同的 ALIAS 名称并单独导入。还必须按步骤 3、a(自上而下)的顺序导入证书链。
  • PATH_TO\CERT_FILE 替换为您在步骤 3 中创建的证书文件的位置, c.
系统会提示您导入证书,键入 yes 并按 Enter 键。
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

提醒:将操作系统 grepfindstr 命令管道 (|) 到上面,以缩小结果范围。 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) 重新启动 NetWorker 服务器服务。 
 
Linux:nsr_shutdown
service networker start

Windows:net stop nsrd
net start nsrd

 
提醒:如果 NetWorker 服务器服务未重新启动,authc 将不会读取 cacerts 文件,并且不会检测与 LDAP 服务器建立 SSL 通信所需的导入证书。

 

从 NWUI 创建“AD over SSL”外部机构资源

1.从 Web 浏览器中,访问 NWUI 服务器:
https://nwui-server-name:9090/nwui2.使用 NetWorker 管理员帐户登录。
3.从菜单中,展开 Authentication Server 并单击 External Authorities
4.在“外部机构”中,单击“Add+”。
5.填充配置字段:

基本配置:
Field
名称 描述性名称,不带 LDAP 或 AD 配置的空间。最大字符数为 256。仅在配置名称中指定 ASCII 字符。
服务器类型 AD over SSL
提供程序服务器名称  指定 Active Directory 服务器的主机名或 IP 地址
端口 端口 636 用于 SSL,如果选择了“AD over SSL”,则此字段应自动填充。
租户 选择租户(如果已配置)。如果未配置或不需要租户,则可以使用“默认值”。
配置租户需要以下登录语法“tenant_name\domain_name\user_name”。如果使用默认租户(通用),则登录语法为“domain_name\user_name”。

租户 — NetWorker 身份验证服务的顶级组织容器。本地数据库中的每个外部身份验证机构都分配给租户。租户可以包含一个或多个域,但域名必须在租户中唯一。NetWorker 身份验证服务创建一个内置租户名称 Default,其中包含默认域。创建多个租户可帮助您管理复杂的配置。例如,具有受限数据区 (RDZ) 的服务提供商可以创建多个租户,以向租户用户提供隔离的数据保护服务。
包括所有 DC 值的完整域名;例如:example.com
User DN 指定对 AD 目录具有完全读取访问权限的用户帐户的完整可分辨名称 (DN)。
User DN Password 指定用于访问和读取 AD Direct 的用户帐户的密码
 
高级配置:
组对象类 必填。标识 LDAP 或 AD 层次结构中的组的对象类。
● 对于 LDAP,请使用 groupOfUniqueNames
groupOfNames 。
● 对于 AD,请使用
组搜索路径(可选) 指定身份验证服务在 LDAP 或 AD 层次结构中搜索组时应使用的搜索路径的 DN。
组名称属性 标识组名称的属性。例如, cn。
组成员属性 组中用户
的组成员身份。
» 对于 LDAP:
6 当组对象类为 groupOfNames 时 ,属性通常是成员。
6 当组对象类为 groupOfUniqueNames 时 ,属性通常为 uniquemember。
● 对于 AD,该值通常是 成员
用户对象类 标识 LDAP 或 AD 层次结构中的用户的对象类。例如, person
用户搜索路径(可选) 指定身份验证服务在 LDAP 或 AD 层次结构中搜索用户时应使用的搜索路径的 DN。指定相对于您在 configserver-address 选项中指定的基本 DN 的搜索路径。例如,对于 AD,指定 cn=users
用户 ID 属性 与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
对于 LDAP,此属性通常为 uid
对于 AD,此属性通常为 sAMAccountName

 

提醒:咨询您的 AD/LDAP 管理员,以确认您的环境需要哪些 AD/LDAP 特定字段。

6.完成后,单击 “保存”。
7.现在应显示已配置的外部机构资源的摘要:

 

NWUI External Authority 窗口中通过 SSL 资源配置的 AD 的示例

8.从 Server->User Groups 菜单编辑包含要委派给 AD/LDAP 组或用户的权限的用户组。例如,要授予完全管理员权限,应在应用程序管理员和安全管理员角色的 外部角色 字段中指定 AD 组/用户 DN。

例如:CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local应用程序管理员

9.指定 AD 组和/或用户 DN 后,单击 Save 。
10.注销 NWUI 界面并使用 AD 帐户重新登录:

NWUI AD 登录示例

11.右上角的用户图标指示登录哪个用户帐户。

Additional Information

您可以在 NetWorker 服务器上使用 authc_mgmt 命令来确认 AD/LDAP 组/用户可见:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
例如:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
提醒:在某些系统上,即使提供了正确的密码,authc 命令也可能失败并显示“错误密码”错误。这是因为密码被指定为带“-p”选项的可见文本。如果您遇到这种情况,请从 命令中删除“-p 密码”。在运行 命令后,系统将提示您输入隐藏的密码。


其他资源:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.