Ця база даних в першу чергу зосереджена на тому, що потрібно для налаштування LDAPS, для ширшого пояснення того, що потрібно для інтеграції AD/LDAP з NetWorker, див.:
NetWorker: Як налаштувати автентифікацію AD/LDAP
ПРИМІТКА: External Authority можна налаштувати за допомогою консолі керування NetWorker та веб-інтерфейсу користувача NetWorker (NWUI); Втім, під час налаштовування Active Directory за допомогою LDAPS, зазвичай, рекомендується використовувати скрипт authc_config або NWUI (19.7 і новіші). Параметр налаштовування NMC пропонує лише «LDAP поверх SSL»; якщо використано цей параметр, буде встановлено "Active Directory: false" . Цей параметр очікує, що сервером автентифікації буде LDAP, а не Microsoft Active Directory. Це призведе до невдалих входів. У процесі, описаному в цій базі знань, докладно описано, як налаштувати LDAPS за допомогою сценарію authc_configure. NWUI (19.7 і новіші) пропонує опцію «AD over SSL».
NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Рекомендуємо спочатку налаштувати AD/LDAP на LDAP, а потім перетворити його на LDAP, щоб виключити будь-які потенційні проблеми з налаштуванням.
Щоб скористатися LDAPS, вам слід імпортувати сертифікат ЦС (або ланцюжок сертифікатів) із сервера LDAPS до сховища довірчих ключів JAVA. Це можна зробити за допомогою наступної процедури:
1) Відкрийте адміністративний/кореневий командний рядок.
2,a) Відображення списку поточних довірених сертифікатів у сховищі довіри.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Зазвичай, двійкове розташування JAVA є частиною змінної середовища OS PATH, тому "keytool" можна запускати з будь-якого місця. Якщо ОС не вдається знайти виконуваний файл keytool. Запустіть команди keytool з каталогу JAVA \bin на вашому сервері NetWorker.
- Замініть JAVA_PATH на шлях до вашої інсталяції JAVA, назва шляху залежить від встановленої версії JAVA.
- У системах з встановленим середовищем виконання NetWorker (NRE) це, як правило, таке:
- Linux: /opt/nre/java/latest/
- Вікна: C:\Program Files\NRE\java\jre-###
- Замініть пароль на JAVA storepass. За замовчуванням використовується значення changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Перегляньте список на наявність псевдоніма, який відповідає вашому серверу LDAPS (такого може не бути). Ви можете використовувати команди OS grep/findstr з наведеною вище командою, щоб звузити пошук. Якщо на вашому сервері LDAPS є застарілий/наявний сертифікат ЦС, видаліть його за допомогою такої команди:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Замініть ALIAS_NAME назвою псевдоніма сервера LDAPS, зібрану з виведених даних у 2,a.
3,a) Скористайтеся інструментом OpenSSL, щоб отримати копію сертифіката ЦС із сервера LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- За замовчуванням хости Windows не включають програму openssl. Якщо немає можливості встановити OpenSSL на сервер NetWorker, сертифікати можна експортувати безпосередньо з сервера LDAPS; однак настійно рекомендується використовувати утиліту OpenSSL.
- Якщо шлях до двійкового каталогу OpenSSL не є частиною змінної середовища OS PATH, вам потрібно буде запускати команди OpenSSL з їх двійкового розташування.
- Якщо у вас немає OpenSSL і його не можна встановити, попросіть адміністратора AD надати сертифікат(и), експортувавши їх у форматі x.509 у кодуванні Base-64.
- Замініть LDAPS_SERVER назвою вузла або IP-адресою вашого сервера LDAPS.
3,b) Наведена вище команда виведе сертифікат ЦС або ланцюжок сертифікатів у форматі PEM, наприклад:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
ПРИМІТКА: Якщо є ланцюжок сертифікатів, то останнім сертифікатом є сертифікат ЦС. Вам потрібно буде імпортувати кожен сертифікат у ланцюжку по порядку (зверху вниз), закінчуючи сертифікатом ЦС.
3,c) Скопіюйте сертифікат, починаючи з ---
BEGIN CERTIFICATE--- і закінчуючи
---END CERTIFICATE --- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, вам потрібно буде зробити це з кожним сертифікатом.
4) Імпортуйте сертифікат(и), створені в 3,c, до сховища довірчих ключів JAVA:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Замініть ALIAS_NAME псевдонімом імпортованого сертифіката. Типово, це назва сервера LDAPS. Якщо потрібно імпортувати кілька сертифікатів для ланцюжка сертифікатів, кожен сертифікат повинен мати окреме ім'я ALIAS і імпортуватися окремо. Ланцюжок сертифікатів також має бути імпортований у тому порядку, в якому він був представлений на кроці 3,a (зверху вниз).
- Замініть JAVA_PATH на шлях до вашої інсталяції JAVA, назва шляху залежить від встановленої версії JAVA.
- Замініть пароль на JAVA storepass. За замовчуванням використовується значення changeit.
- Замініть PATH_TO\CERT_FILE розташуванням файлу сертифіката, який ви створили на кроках 3,c.
- Вам буде запропоновано імпортувати сертифікат, введіть yes і натисніть Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Підтвердьте, що сертифікат відображається у сховищі ключів:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
ПРИМІТКА: Передайте (|) команду операційної системи grep або findstr до наведеної вище, щоб звузити результати.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Перезапустіть серверні служби NetWorker.
Linux:
nsr_shutdown
Запуск
мережі службВікна: Чиста зупинка NRD Чистий старт NRD
ПРИМІТКА: Якщо серверні служби NetWorker не перезапустити, authc не прочитає файл cacerts і не виявить імпортовані сертифікати, необхідні для встановлення SSL-зв'язку з сервером LDAP.
7,a) Оновіть свій сценарій authc-create-ad-config (Active Directory) АБО authc-create-ldap-config (LDAP), щоб використовувати LDAPS:
Мі́сце:
Лінукс |
/opt/nsr/authc-server/scripts/ |
Вікна |
[ІНСТАЛЯЦІЙНИЙ ДИСК]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
ПРИМІТКА: Якщо ви додаєте нову конфігурацію, слід використовувати "-e add-config", якщо ви оновлюєте наявну конфігурацію, слід використовувати "-e update-config". У рядку адреси config-server-address вкажіть протокол "ldaps" (має бути в нижньому регістрі) і порт "636".
7,b) Запустіть скрипт з командного рядка. Він повинен повідомити, що конфігурацію було оновлено/додано успішно.
8) Підтвердьте, що конфігурація була оновлена:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- При кожній команді вам буде запропоновано ввести пароль адміністратора NetWorker. Команду можна запустити з прапорцем "-p password", але це може не спрацювати в деяких ОС через використання відкритого текстового пароля.
- Замініть CONFIG_ID на ідентифікатор конфігурації, зібраний першою командою:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
У новій версії сервер проходить автентифікацію за допомогою AD/LDAP через LDAPS.
Якщо під час виконання цієї процедури виникнуть будь-які помилки або проблеми, зверніться до адміністратора ЦС, щоб переконатися, що використовуються/витягуються правильні сертифікати.
Незалежно від того, чи використовуєте ви Windows Active Directory або Linux LDAP (наприклад: OpenLDAP) для розпізнавання використовується протокол LDAP. LDAP (Lightweight Directory Application Protocol) і Secure LDAP (LDAPS) — це протоколи з'єднання, які використовуються між програмою та мережевим каталогом або контролером домену в інфраструктурі.
LDAP передає повідомлення відкритим текстом, а зв'язок LDAPS зашифрований і безпечний.