Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker: Sådan bruges authc_config scripts til at konfigurere LDAPS-godkendelse

Summary: Generel oversigt over konfiguration af AD/LDAP-godkendelse via LDAPS ved hjælp af NetWorker-authc_config scripts. Dette kan også bruges ved opgradering/konvertering af en eksisterende LDAP-konfiguration til LDAPS. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Denne KB fokuserer primært på, hvad der er nødvendigt for at konfigurere LDAPS. For en bredere forklaring af, hvad der er nødvendigt for at integrere AD/LDAP med NetWorker, se: NetWorker: Sådan konfigureres AD/LDAP-godkendelse

BEMÆRK: Ekstern myndighed kan konfigureres fra NetWorker Management Console og NetWorker Web User Interface (NWUI). Det anbefales dog generelt at konfigurere Active Directory over LDAPS til at bruge det authc_config script eller NWUI (19.7 og nyere). NMC-konfigurationsindstillingen tilbyder kun "LDAP over SSL". Hvis denne indstilling anvendes, angives "Active Directory: false". Denne indstilling forventer, at godkendelsesserveren er LDAP i stedet for Microsoft Active Directory. Dette vil resultere i mislykkede logins. Processen beskrevet i denne KB-vejledning beskriver, hvordan du konfigurerer LDAPS ved hjælp af authc_configure-scriptet. NWUI (19.7 og nyere) tilbyder muligheden "AD over SSL". NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)

Det anbefales at få AD/LDAP-konfigurationen til at fungere over LDAP først og derefter konvertere den til LDAPS for at udelukke eventuelle konfigurationsproblemer.

For at bruge LDAPS skal du importere CA-certifikatet (eller certifikatkæde) fra LDAPS-serveren til JAVA-tillidsnøglelageret. Dette kan gøres ved hjælp af følgende fremgangsmåde:
1) Åbn en administrativ/root-kommandoprompt.

2,a) Vis en liste over aktuelle certifikater, der er tillid til, i tillidslageret. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Typisk er den binære JAVA-placering en del af OS PATH-miljøvariablen , så "keytool" kan køres fra hvor som helst. Hvis operativsystemet ikke kan finde den binære nøgletool. Kør keytool-kommandoerne fra JAVA \bin-mappen på din NetWorker-server.
  • Udskift JAVA_PATH med stien til din JAVA-installation, og stinavnet varierer afhængigt af den installerede JAVA-version.
    • På systemer med NetWorker Runtime Environment (NRE) installeret er dette typisk:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Program Files\NRE\java\jre-###
  • Udskift adgangskoden med JAVA Storepass. Standardværdien er changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Gennemse listen for et alias, der svarer til din LDAPS-server (dette findes muligvis ikke). Du kan bruge OS grep/findstr-kommandoer med ovenstående kommando til at indsnævre søgningen. Hvis der er et forældet/eksisterende CA-certifikat fra din LDAPS-server, skal du slette det med følgende kommando: 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Erstat ALIAS_NAME med aliasnavnet på den LDAPS-server, der er indsamlet fra outputtet i 2,a.

3,a) Brug OpenSSL-værktøjet til at hente en kopi af CA-certifikatet fra LDAPS-serveren. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Windows-værter inkluderer som standard ikke openssl-programmet. Hvis det ikke er muligt at installere OpenSSL på NetWorker-serveren, kan certifikaterne eksporteres direkte fra LDAPS-serveren. det anbefales dog kraftigt at bruge OpenSSL-hjælpeprogrammet.
  • Medmindre stien til den binære OpenSSL-mappe er en del af OS PATH-miljøvariablen, skal du køre OpenSSL-kommandoerne fra deres binære placering.
  • Hvis du ikke har OpenSSL, og det ikke kan installeres, skal din AD-administrator levere certifikatet/-erne ved at eksportere dem som Base-64-kodet x.509-format.
  • Erstat LDAPS_SERVER med værtsnavnet eller IP-adressen på din LDAPS-server.

3,b) Ovenstående kommando udskriver NØGLE-certifikatet eller en certifikatkæde i PEM-format, f.eks.: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
BEMÆRK: Hvis der er en certifikatkæde, er det sidste certifikat nøglecentercertifikatet. Du skal importere hvert certifikat i kæden i rækkefølge (top-ned), der ender på CA-certifikatet. 

3,c) Kopier certifikatet fra ---BEGIN CERTIFICATE--- og slutter med ---END CERTIFICATE--- og indsæt det i en ny fil. Hvis der er en kæde af certifikater, skal du gøre det med hvert enkelt certifikat.

4) Importer det eller de certifikater, der blev oprettet i 3.c, til JAVA-tillidsnøglelageret: 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Erstat ALIAS_NAME med et alias for det importerede certifikat. Dette er typisk LDAPS-servernavnet. Hvis du har brug for at importere flere certifikater for en certifikatkæde, skal hvert certifikat have et andet ALIASnavn og importeres hver for sig. Certifikatkæden skal også importeres i rækkefølge fra den viste fremgangsmåde i trin 3, a (top-ned).
  • Udskift JAVA_PATH med stien til din JAVA-installation, og stinavnet varierer afhængigt af den installerede JAVA-version.
  • Udskift adgangskoden med JAVA Storepass. Standardværdien er changeit.
  • Erstat PATH_TO\CERT_FILE med placeringen af den cert-fil, du oprettede i trin 3,c.
  • Du vil blive bedt om at importere certifikatet. Skriv ja, og tryk på Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Bekræft, at certifikatet vises i nøglelageret: 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
BEMÆRK: Rør (|) til operativsystemets grep - eller findstr-kommando ovenfor for at indsnævre resultaterne.  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Genstart NetWorker-servertjenesterne. 
Linux: 
nsr_shutdown
      service NetWorker start
Windows: net stop nsrd
net start nsrd
 
BEMÆRK: Hvis NetWorker-servertjenesterne ikke genstartes, vil authc ikke læse cacerts-filen og vil ikke registrere de importerede certifikater, der er nødvendige for at oprette SSL-kommunikation med LDAP-serveren.
 
7.a) Opdater dit authc-create-ad-config (Active Directory) ELLER authc-create-ldap-config (LDAP)-script til at bruge LDAPS:
Placering:
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALLATIONSDREV]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
BEMÆRK: Hvis du tilføjer en ny konfiguration "-e add-config", skal du bruge, hvis du opdaterer en eksisterende konfiguration "-e update-config". I adresselinjen på konfigurationsserveren skal du angive protokollen "ldaps" (skal være med små bogstaver) og porten "636".
 
7,b) Kør scriptet fra kommandolinjen. Den bør rapportere, at konfigurationen er blevet opdateret/tilføjet korrekt.

8) Bekræft, at konfigurationen er blevet opdateret: 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Du vil blive bedt om at indtaste NetWorker Administrator-adgangskoden med hver kommando. Kommandoen kan køres med flaget "-p password", men dette kan mislykkes på nogle operativsystemer, fordi der bruges en klar tekstadgangskode.
  • Erstat CONFIG_ID med det konfigurations-id, der indsamles med den første kommando:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Serveren er nu godkendt med AD/LDAP over LDAPS.

Hvis der opstår fejl eller problemer, når du følger denne procedure, skal du spørge din nøglecenteradministrator for at sikre, at de korrekte certifikater anvendes/trækkes.

Additional Information

Uanset om du bruger Windows Active Directory eller Linux LDAP (f.eks.: OpenLDAP) bruges LDAP-protokollen til godkendelse. LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er de forbindelsesprotokoller, der bruges mellem programmet og netværksmappen eller domænecontrolleren i infrastrukturen.

LDAP overfører kommunikation i Clear Text, og LDAPS-kommunikation er krypteret og sikker.

Affected Products

NetWorker

Products

NetWorker