Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker : Utilisation de scripts authc_config pour configurer l’authentification LDAPS

Summary: Présentation générale de la configuration de l’authentification AD/LDAP sur LDAPS à l’aide des scripts authc_config de NetWorker. Cela peut également être utilisé lors de la mise à niveau/conversion d’une configuration LDAP existante en LDAPS. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Cet article de la base de connaissances se concentre principalement sur les éléments nécessaires à la configuration de LDAPS. Pour une explication plus large des éléments nécessaires à l’intégration d’AD/LDAP avec NetWorker, reportez-vous à la section : NetWorker : Configuration de l’authentification AD/LDAP

Remarque : L’autorité externe peut être configurée à partir de NetWorker Management Console et netWorker Web User Interface (NWUI) ; Toutefois, il est généralement recommandé de configurer Active Directory sur LDAPS pour utiliser le script authc_config ou l’interface utilisateur NWUI (19.7 et versions ultérieures). L’option de configuration NMC offre uniquement « LDAP sur SSL ». Si cette option est utilisée, elle définit « Active Directory : false ». Cette option s’attend à ce que le serveur d’authentification soit LDAP au lieu de Microsoft Active Directory. Cela entraîne l’échec des connexions. Le processus décrit dans cet article de la base de connaissances explique comment configurer LDAPS à l’aide du script authc_configure. NWUI (19.7 et versions ultérieures) offre une option « AD over SSL ». NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)

Il est recommandé d’utiliser d’abord la configuration AD/LDAP sur LDAP, puis de la convertir en LDAPS pour écarter tout problème de configuration potentiel.

Pour utiliser LDAPS, vous devez importer le certificat d’autorité de certification (ou la chaîne de certificats) à partir du serveur LDAPS dans le magasin de clés de confiance JAVA. Pour ce faire, procédez comme suit :
1) Ouvrez une invite de commande administrative/racine.

2,a) Affichez la liste des certificats de confiance actuels dans le magasin de certificats de confiance. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • En général, l’emplacement binaire JAVA fait partie de la variable environnementale OS PATH afin que « keytool » puisse être exécuté n’importe où. Si le système d’exploitation ne parvient pas à trouver le fichier binaire keytool. Exécutez les commandes keytool à partir du répertoire JAVA \bin sur votre serveur NetWorker.
  • Remplacez JAVA_PATH par le chemin d’accès à votre installation JAVA. Le nom du chemin varie en fonction de la version JAVA installée.
    • Sur les systèmes sur lesquels NetWorker Runtime Environment (NRE) est installé, il s’agit généralement des suivants :
      • Linux : /opt/nre/java/latest/
      • Windows : C :\Program Files\NRE\java\jre-###
  • Remplacez le mot de passe par java storepass. La valeur par défaut est changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Vérifiez la liste pour trouver un alias qui correspond à votre serveur LDAPS (cela peut ne pas exister). Vous pouvez utiliser les commandes GREP/findstr du système d’exploitation avec la commande ci-dessus pour affiner la recherche. S’il existe un certificat d’autorité de certification obsolète/existant à partir de votre serveur LDAPS, supprimez-le à l’aide de la commande suivante : 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Remplacez ALIAS_NAME par le nom d’alias du serveur LDAPS collecté à partir de la sortie dans 2, a.

3,a) Utilisez l’outil OpenSSL pour obtenir une copie du certificat d’autorité de certification auprès du serveur LDAPS. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Par défaut, les hôtes Windows n’incluent pas le programme openssl. S’il n’est pas possible d’installer OpenSSL sur le serveur NetWorker, les certificats peuvent être exportés directement à partir du serveur LDAPS. Toutefois, il est vivement recommandé d’utiliser l’utilitaire OpenSSL.
  • Sauf si le chemin d’accès au répertoire des binaires OpenSSL fait partie de la variable environnementale OS PATH, vous devrez exécuter les commandes OpenSSL à partir de leur emplacement binaire.
  • Si vous ne disposez pas d’OpenSSL et qu’il ne peut pas être installé, demandez à votre administrateur AD de fournir le ou les certificats en les exportant au format base-64 codé x.509.
  • Remplacez LDAPS_SERVER par le nom d’hôte ou l’adresse IP de votre serveur LDAPS.

3,b) La commande ci-dessus génère le certificat d’autorité de certification ou une chaîne de certificats au format PEM, par exemple : 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Remarque : S’il existe une chaîne de certificats, le dernier certificat est le certificat d’autorité de certification. Vous devrez importer chaque certificat de la chaîne dans l’ordre (haut en bas) se terminant par le certificat d’autorité de certification. 

3,c) Copiez le certificat en commençant par ---BEGIN CERTIFICATE--- et en se terminant par ---END CERTIFICATE--- et collez-le dans un nouveau fichier. S’il existe une chaîne de certificats, vous devez le faire avec chaque certificat.

4) Importez le ou les certificats créés dans 3, c dans le magasin de certificats de confiance JAVA : 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Remplacez ALIAS_NAME par un alias pour le certificat importé. Il s’agit généralement du nom du serveur LDAPS. Si vous avez besoin d’importer plusieurs certificats pour une chaîne de certificats, chaque certificat doit avoir un nom ALIAS différent et être importé séparément. La chaîne de certificats doit également être importée dans l’ordre indiqué à l’étape 3, a (de haut en bas).
  • Remplacez JAVA_PATH par le chemin d’accès à votre installation JAVA. Le nom du chemin varie en fonction de la version JAVA installée.
  • Remplacez le mot de passe par java storepass. La valeur par défaut est changeit.
  • Remplacez PATH_TO\CERT_FILE par l’emplacement du fichier de certificat que vous avez créé à l’étape 3, c.
  • Vous serez invité à importer le certificat, saisissez yes et appuyez sur Entrée.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Vérifiez que le certificat est affiché dans le magasin de clés : 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
Remarque : Pointez (|) la commande grep ou findstr du système d’exploitation vers la commande ci-dessus pour affiner les résultats.  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Redémarrez les services du serveur NetWorker. 
Linux : 
nsr_shutdown
      démarrage
de Service NetworkerWindows: net stop nsrd
net start nsrd
 
Remarque : Si les services du serveur NetWorker ne sont pas redémarrés, authc ne lit pas le fichier cacerts et ne détecte pas les certificats importés requis pour établir la communication SSL avec le serveur LDAP.
 
7,a) Mettez à jour votre script authc-create-ad-config (Active Directory) OU authc-create-ldap-config (LDAP) pour utiliser LDAPS :
Emplacement :
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALL DRIVE] :\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
Remarque : Si vous ajoutez une nouvelle configuration « -e add-config », si vous mettez à jour une configuration existante « -e update-config » doit être utilisée. Dans la ligne config-server-address, spécifiez le protocole « ldaps » (doit être en minuscules) et le port « 636 ».
 
7,b) Exécutez le script à partir de la ligne de commande. Il doit signaler que la configuration a été mise à jour/ajoutée avec succès.

8) Vérifiez que la configuration a été mise à jour : 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Vous êtes invité à saisir le mot de passe de l’administrateur NetWorker à l’aide de chaque commande. La commande peut être exécutée avec l’indicateur « -p password », mais cela peut échouer sur certains systèmes d’exploitation en raison de l’utilisation d’un mot de passe en texte clair.
  • Remplacez CONFIG_ID par l’ID de configuration collecté à l’aide de la première commande :
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Le serveur s’authentifie désormais avec AD/LDAP via LDAPS.

Si vous rencontrez des erreurs ou des problèmes en suivant cette procédure, contactez votre administrateur CA pour vous assurer que les certificats corrects sont utilisés/retirés.

Additional Information

Que vous utilisiez Windows Active Directory ou Linux LDAP (par exemple : OpenLDAP) le protocole LDAP est utilisé pour l’authentification. LDAP (Lightweight Directory Application Protocol) et Secure LDAP (LDAPS) sont les protocoles de connexion utilisés entre l’application et le répertoire réseau ou le contrôleur de domaine au sein de l’infrastructure.

LDAP transmet les communications en texte clair, et la communication LDAPS est chiffrée et sécurisée.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.