Tässä tietämyskannan artikkelissa keskitytään ensisijaisesti siihen, mitä tarvitaan LDAPS:n määrittämiseen. Lisätietoja siitä, mitä tarvitaan AD:n/LDAP:n integroinnissa NetWorkeriin, on artikkelissa
NetWorker: AD-/LDAP-todennuksen määrittäminen
HUOMAUTUS: Ulkoiset varmenteet voidaan määrittää NetWorker Management Consolessa ja NetWorker-verkkokäyttöliittymässä (NWUI); Active Directoryn määrittäminen LDAPS:n kautta on kuitenkin suositeltavaa käyttää authc_config-komentosarjaa tai NWUI-komentosarjaa (19.7 ja uudemmat). NMC-määritysvaihtoehto sisältää vain LDAP over SSL -ominaisuuden. Jos tätä asetusta käytetään, active directory: false -asetus on käytössä. Tämä vaihtoehto odottaa, että todennuspalvelin on LDAP Eikä Microsoft Active Directory. Kirjautuminen epäonnistuu. Tässä tietämyskannan artikkelissa on ohjeet LDAPS:n määrittämiseen authc_configure komentosarjalla. NWUI (19.7 ja uudemmat) tarjoaa AD over SSL -vaihtoehdon.
NetWorker: AD over SSL:n (LDAPS) määrittäminen NetWorker-verkkokäyttöliittymässä (NWUI)
AD- tai LDAP-määritys kannattaa selvittää ensin LDAP:n kautta. Sen jälkeen se muunnetaan LDAPS-protokollaksi, jotta mahdolliset määritysongelmat voidaan sulkea pois.
Jos haluat käyttää LDAPS:ää, sinun on tuotava CA-varmenne (tai varmenneketju) LDAPS-palvelimesta JAVA-luottamusavainten tallennustilaan. Tämä voidaan tehdä seuraavasti:
1) Avaa komentokehote järjestelmänvalvojana/pääkäyttäjänä.
2,a) Näyttää luettelon luottamussäilön nykyisistä luotetuista varmenteista.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- JAVA-binäärisijainti on tavallisesti os PATH -ympäristömuuttujan osa, joten keytool-toimintoa voi käyttää missä tahansa. Jos käyttöjärjestelmä ei löydä avaintool-binaaritiedostoa, Suorita Keytool-komennot NetWorker-palvelimen JAVA \bin -hakemistossa.
- Korvaa JAVA_PATH POLULLA JAVA-asennukseen. Polun nimi vaihtelee asennetun JAVA-version mukaan.
- Järjestelmissä, joihin on asennettu NetWorker Runtime Environment (NRE), tämä on tavallisesti:
- Linux: /opt/nre/java/latest/
- Windows: C:\Ohjelmatiedostot\NRE\java\jre-###
- Vaihda salasana JAVA-säilöihin. Oletusarvo on changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Tarkista luettelosta LDAPS-palvelinta vastaava alias (tätä ei ehkä ole). Voit tarkentaa hakua käyttämällä edellä mainitulla komennolla käyttöjärjestelmän grep/findstr-komentoja. Jos LDAPS-palvelimessa on vanhentunut ca-varmenne, poista se seuraavalla komennolla:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Korvaa ALIAS_NAME tuloksesta kerätyn LDAPS-palvelimen aliasnimellä 2,a.
3,a) Hae varmenteen myöntäjän varmenne OpenSSL-työkalulla LDAPS-palvelimesta.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Windows-isäntäkoneet eivät oletusarvoisesti sisällä avaamisohjelmaa. Jos OpenSSL:ää ei voi asentaa NetWorker-palvelimeen, varmenteet voidaan viedä suoraan LDAPS-palvelimesta. OpenSSL-apuohjelmaa suositellaan kuitenkin erittäin paljon.
- Jos OpenSSL:n binaarihakemiston polku ei kuulu käyttöjärjestelmän POLUN ympäristömuuttujaan, OpenSSL-komennot on suoritettava niiden binäärisijainnista.
- Jos OpenSSL ei ole käytettävissä ja sitä ei voi asentaa, pyydä AD-järjestelmänvalvojaa toimittamaan varmenteet viemällä ne Base-64-koodattuna x.509-muodossa.
- Korvaa LDAPS_SERVER LDAPS-palvelimen isäntänimellä tai IP-osoitteella.
3,b) Yllä oleva komento näyttää CA-varmenteen tai PEM-muotoisen varmenneketjun, kuten:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
HUOMAUTUS: Jos varmenteita on ketjussa, ca-varmenne on viimeinen varmenne. Kaikki ketjun varmenteet on tuotava järjestyksessä (yläreunassa), joka päättyy varmenteiden myöntäjän varmenteeseen.
3,c) Kopioi varmenne alkaen
---BEGIN CERTIFICATE--- -sertifikaatista ja päättyy
---END CERTIFICATE--- ja liitä se uuteen tiedostoon. Jos käytössä on varmenneketju, se on tehtävä jokaisen varmenteen yhteydessä.
4) Tuo 3,c-kohdassa luodut varmenteet JAVA-luottamusavaintentoreen:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Korvaa ALIAS_NAME tuodun varmenteen aliaksilla. Tämä on tavallisesti LDAPS-palvelimen nimi. Jos varmenneketjuun on tuotava useita varmenteita, kullakin varmenteella on oltava eri ALIAS-nimi ja ne on tuotava erikseen. Varmenneketju on myös tuotava järjestyksessä siitä, miten se on esitelty vaiheessa 3,a (yläreunassa).
- Korvaa JAVA_PATH POLULLA JAVA-asennukseen. Polun nimi vaihtelee asennetun JAVA-version mukaan.
- Vaihda salasana JAVA-säilöihin. Oletusarvo on changeit.
- Korvaa PATH_TO\CERT_FILE vaiheessa 3,c luodun varmennetiedoston sijainnilla.
- Saat kehotteen tuoda varmenne. Kirjoita kyllä ja paina Enter-näppäintä.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Varmista, että varmenne näkyy avainsanassa:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
HUOMAUTUS: Rajaa tulokset pystyviivalla (|) käyttöjärjestelmän grep - tai findstr-komennolla edellä olevaan komentoon.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Käynnistä NetWorker-palvelinpalvelut uudelleen.
Linux:
nsr_shutdown
service networker start (palveluverkon käynnistys)
Windows: net stop nsrd
net start nsrd
HUOMAUTUS: Jos NetWorker-palvelinpalveluja ei käynnistetä uudelleen, authc ei lue cacerts-tiedostoa eikä tunnista tuotuja varmenteita, joita tarvitaan SSL-tiedonsiirron luomiseen LDAP-palvelimen kanssa.
7,a) Käytä LDAPS:ää päivittämällä authc-create-ad-config (Active Directory) TAI authc-create-ldap-config (LDAP) -komentosarja:
Paikka:
| Linux |
/opt/nsr/authc-palvelin/komentosarjat/ |
| Windows |
[INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
HUOMAUTUS: Jos lisäät uuden config -e add-config -määrityksen, käytä olemassa olevaa -e update-config-kokoonpanoa. Määritä config-server-address-osoiterivillä ldaps-protokolla (sen on oltava pieni kirjain) ja portti 636.
7,b) Suorita komentosarja komentorivillä. Sen pitäisi ilmoittaa, että kokoonpano on päivitetty/lisätty onnistuneesti.
8) Varmista, että kokoonpano on päivitetty:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- Saat kehotteen antaa networker-järjestelmänvalvojan salasana jokaisella komennolla. Komennossa voi käyttää -p-salasanamerkintää, mutta se voi epäonnistua joissakin käyttöjärjestelmissä, koska käytössä on tyhjennyssalasana.
- Korvaa CONFIG_ID ensimmäisellä komennolla kerätyllä määritystunnuksella:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
Palvelin tekee todennuksen AD:n/LDAP:n kautta LDAPS:n kautta.
Jos tämän menettelyn noudattamisessa ilmenee virheitä tai ongelmia, tarkista varmenteen myöntäjän järjestelmänvalvojalta, että käytössä on oikeat varmenteet.
Oli kyseessä sitten Windows Active Directory tai Linux LDAP (esimerkiksi: OpenLDAP) LDAP-protokollaa käytetään todennukseen. LDAP (Lightweight Directory Application Protocol) ja Secure LDAP (LDAPS) ovat yhteysprotokollia, joita käytetään sovelluksen ja infrastruktuurin verkkohakemiston tai toimialueen ohjauskoneen välillä.
LDAP lähettää viestejä selkeänä tekstinä, ja LDAPS-viestintä on salattua ja suojattua.