Denne KB fokuserer primært på, hvad der er nødvendigt for at konfigurere LDAPS. For en bredere forklaring af, hvad der er nødvendigt for at integrere AD/LDAP med NetWorker, se:
NetWorker: Sådan konfigureres AD/LDAP-godkendelse
BEMÆRK: Ekstern myndighed kan konfigureres fra NetWorker Management Console og NetWorker Web User Interface (NWUI). Det anbefales dog generelt at konfigurere Active Directory over LDAPS til at bruge det authc_config script eller NWUI (19.7 og nyere). NMC-konfigurationsindstillingen tilbyder kun "LDAP over SSL". Hvis denne indstilling anvendes, angives "Active Directory: false". Denne indstilling forventer, at godkendelsesserveren er LDAP i stedet for Microsoft Active Directory. Dette vil resultere i mislykkede logins. Processen beskrevet i denne KB-vejledning beskriver, hvordan du konfigurerer LDAPS ved hjælp af authc_configure-scriptet. NWUI (19.7 og nyere) tilbyder muligheden "AD over SSL".
NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)
Det anbefales at få AD/LDAP-konfigurationen til at fungere over LDAP først og derefter konvertere den til LDAPS for at udelukke eventuelle konfigurationsproblemer.
For at bruge LDAPS skal du importere CA-certifikatet (eller certifikatkæde) fra LDAPS-serveren til JAVA-tillidsnøglelageret. Dette kan gøres ved hjælp af følgende fremgangsmåde:
1) Åbn en administrativ/root-kommandoprompt.
2,a) Vis en liste over aktuelle certifikater, der er tillid til, i tillidslageret.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Typisk er den binære JAVA-placering en del af OS PATH-miljøvariablen , så "keytool" kan køres fra hvor som helst. Hvis operativsystemet ikke kan finde den binære nøgletool. Kør keytool-kommandoerne fra JAVA \bin-mappen på din NetWorker-server.
- Udskift JAVA_PATH med stien til din JAVA-installation, og stinavnet varierer afhængigt af den installerede JAVA-version.
- På systemer med NetWorker Runtime Environment (NRE) installeret er dette typisk:
- Linux: /opt/nre/java/latest/
- Windows: C:\Program Files\NRE\java\jre-###
- Udskift adgangskoden med JAVA Storepass. Standardværdien er changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Gennemse listen for et alias, der svarer til din LDAPS-server (dette findes muligvis ikke). Du kan bruge OS grep/findstr-kommandoer med ovenstående kommando til at indsnævre søgningen. Hvis der er et forældet/eksisterende CA-certifikat fra din LDAPS-server, skal du slette det med følgende kommando:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Erstat ALIAS_NAME med aliasnavnet på den LDAPS-server, der er indsamlet fra outputtet i 2,a.
3,a) Brug OpenSSL-værktøjet til at hente en kopi af CA-certifikatet fra LDAPS-serveren.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Windows-værter inkluderer som standard ikke openssl-programmet. Hvis det ikke er muligt at installere OpenSSL på NetWorker-serveren, kan certifikaterne eksporteres direkte fra LDAPS-serveren. det anbefales dog kraftigt at bruge OpenSSL-hjælpeprogrammet.
- Medmindre stien til den binære OpenSSL-mappe er en del af OS PATH-miljøvariablen, skal du køre OpenSSL-kommandoerne fra deres binære placering.
- Hvis du ikke har OpenSSL, og det ikke kan installeres, skal din AD-administrator levere certifikatet/-erne ved at eksportere dem som Base-64-kodet x.509-format.
- Erstat LDAPS_SERVER med værtsnavnet eller IP-adressen på din LDAPS-server.
3,b) Ovenstående kommando udskriver NØGLE-certifikatet eller en certifikatkæde i PEM-format, f.eks.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
BEMÆRK: Hvis der er en certifikatkæde, er det sidste certifikat nøglecentercertifikatet. Du skal importere hvert certifikat i kæden i rækkefølge (top-ned), der ender på CA-certifikatet.
3,c) Kopier certifikatet fra
---BEGIN CERTIFICATE--- og slutter med
---END CERTIFICATE--- og indsæt det i en ny fil. Hvis der er en kæde af certifikater, skal du gøre det med hvert enkelt certifikat.
4) Importer det eller de certifikater, der blev oprettet i 3.c, til JAVA-tillidsnøglelageret:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Erstat ALIAS_NAME med et alias for det importerede certifikat. Dette er typisk LDAPS-servernavnet. Hvis du har brug for at importere flere certifikater for en certifikatkæde, skal hvert certifikat have et andet ALIASnavn og importeres hver for sig. Certifikatkæden skal også importeres i rækkefølge fra den viste fremgangsmåde i trin 3, a (top-ned).
- Udskift JAVA_PATH med stien til din JAVA-installation, og stinavnet varierer afhængigt af den installerede JAVA-version.
- Udskift adgangskoden med JAVA Storepass. Standardværdien er changeit.
- Erstat PATH_TO\CERT_FILE med placeringen af den cert-fil, du oprettede i trin 3,c.
- Du vil blive bedt om at importere certifikatet. Skriv ja, og tryk på Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Bekræft, at certifikatet vises i nøglelageret:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
BEMÆRK: Rør (|) til operativsystemets grep - eller findstr-kommando ovenfor for at indsnævre resultaterne.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Genstart NetWorker-servertjenesterne.
Linux:
nsr_shutdown
service NetWorker start
Windows: net stop nsrd
net start nsrd
BEMÆRK: Hvis NetWorker-servertjenesterne ikke genstartes, vil authc ikke læse cacerts-filen og vil ikke registrere de importerede certifikater, der er nødvendige for at oprette SSL-kommunikation med LDAP-serveren.
7.a) Opdater dit authc-create-ad-config (Active Directory) ELLER authc-create-ldap-config (LDAP)-script til at bruge LDAPS:
Placering:
Linux |
/opt/nsr/authc-server/scripts/ |
Windows |
[INSTALLATIONSDREV]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
BEMÆRK: Hvis du tilføjer en ny konfiguration "-e add-config", skal du bruge, hvis du opdaterer en eksisterende konfiguration "-e update-config". I adresselinjen på konfigurationsserveren skal du angive protokollen "ldaps" (skal være med små bogstaver) og porten "636".
7,b) Kør scriptet fra kommandolinjen. Den bør rapportere, at konfigurationen er blevet opdateret/tilføjet korrekt.
8) Bekræft, at konfigurationen er blevet opdateret:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- Du vil blive bedt om at indtaste NetWorker Administrator-adgangskoden med hver kommando. Kommandoen kan køres med flaget "-p password", men dette kan mislykkes på nogle operativsystemer, fordi der bruges en klar tekstadgangskode.
- Erstat CONFIG_ID med det konfigurations-id, der indsamles med den første kommando:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
Serveren er nu godkendt med AD/LDAP over LDAPS.
Hvis der opstår fejl eller problemer, når du følger denne procedure, skal du spørge din nøglecenteradministrator for at sikre, at de korrekte certifikater anvendes/trækkes.
Uanset om du bruger Windows Active Directory eller Linux LDAP (f.eks.: OpenLDAP) bruges LDAP-protokollen til godkendelse. LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er de forbindelsesprotokoller, der bruges mellem programmet og netværksmappen eller domænecontrolleren i infrastrukturen.
LDAP overfører kommunikation i Clear Text, og LDAPS-kommunikation er krypteret og sikker.