Denne KB-en fokuserer primært på det som trengs for å konfigurere LDAPS. Hvis du vil ha en bredere forklaring på hva som trengs for å integrere AD/LDAP med NetWorker, kan du se:
NetWorker: Slik konfigurerer du AD/LDAP-godkjenning
MERK: Ekstern myndighet kan konfigureres fra NetWorker Management Console og NetWorker Web User Interface (NWUI), Det anbefales imidlertid vanligvis at du konfigurerer Active Directory over LDAPS for å bruke authc_config-skriptet eller NWUI (19.7 og nyere). NMC-konfigurasjonsalternativet gir bare "LDAP over SSL"; Hvis dette alternativet brukes, vil det angi "Active Directory: false". Dette alternativet forventer at godkjenningsserveren er LDAP i stedet for Microsoft Active Directory. Dette vil føre til mislykkede pålogginger. Prosessen som er beskrevet i denne KB-en, inneholder informasjon om hvordan du konfigurerer LDAPS ved hjelp av authc_configure skriptet. NWUI (19.7 og nyere) tilbyr et alternativ for AD over SSL.
NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Det anbefales å få AD/LDAP-konfigurasjonen til å fungere over LDAP først, og deretter konvertere den til LDAPS for å utelukke potensielle konfigurasjonsproblemer.
Hvis du vil bruke LDAPS, må du importere CA-sertifikatet (eller sertifikatkjeden) fra LDAPS-serveren til JAVA Trust-nøkkellageret. Dette kan gjøres med følgende fremgangsmåte:
1) Åpne en ledetekst for administrator/rot.
2,a) Vis en liste over gjeldende klarerte sertifikater i Trust Store.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Vanligvis er JAVA-binærplasseringen en del av miljøvariabelen for OS PATH, slik at «keytool» kan kjøres fra hvor som helst. Hvis operativsystemet ikke finner den binære tastetoolen. Kjør keytool-kommandoene fra JAVA \bin-katalogen på NetWorker-serveren.
- Bytt ut JAVA_PATH med banen til JAVA-installasjonen, varierer banenavnet basert på JAVA-versjonen som er installert.
- På systemer med NetWorker Runtime Environment (NRE) installert er dette vanligvis:
- Linux: /opt/nre/java/latest/
- Windows: C:\Programfiler\NRE\java\jre-###
- Bytt ut passordet med JAVA-lagerpasset. Standardverdien er changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Se gjennom listen etter et alias som samsvarer med LDAPS-serveren (dette finnes kanskje ikke). Du kan bruke kommandoene grep/findstr for operativsystemet med kommandoen ovenfor for å begrense søket. Hvis det finnes et utdatert/eksisterende CA-sertifikat fra LDAPS-serveren, sletter du det med følgende kommando:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Erstatt ALIAS_NAME med aliasnavnet til LDAPS-serveren som ble samlet inn fra utdataene i 2,a.
3,a) Bruk OpenSSL-verktøyet til å hente en kopi av CA-sertifikatet fra LDAPS-serveren.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Som standard inkluderer ikke Windows-verter opensl-programmet. Hvis det ikke er mulig å installere OpenSSL på NetWorker-serveren, kan sertifikatene eksporteres direkte fra LDAPS-serveren. Det anbefales imidlertid på det sterkeste å bruke OpenSSL-verktøyet.
- Med mindre banen til OpenSSL-binærkatalogen er en del av miljøvariabelen for OS PATH, må du kjøre OpenSSL-kommandoene fra den binære plasseringen.
- Hvis du ikke har OpenSSL, og den ikke kan installeres, må AD-administratoren oppgi sertifikatene ved å eksportere dem som Basis-64-kodet x.509-format.
- Bytt ut LDAPS_SERVER med vertsnavnet eller IP-adressen til LDAPS-serveren.
3,b) Kommandoen ovenfor vil sende CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks.
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
MERK: Hvis det finnes en kjede av sertifikater, er det siste sertifikatet CA-sertifikatet. Du må importere hvert sertifikat i kjeden i rekkefølge (ovenfra og ned) og avslutte med CA-sertifikatet.
3,c) Kopier sertifikatet fra
---BEGIN CERTIFICATE--- og slutt med
---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
4) Importer sertifikatene som ble opprettet i 3,c, til JAVA Trust-nøkkellageret:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Bytt ut ALIAS_NAME med et alias for det importerte sertifikatet. Dette er vanligvis navnet på LDAPS-serveren. Hvis du må importere flere sertifikater for en sertifikatkjede, må hvert sertifikat ha et annet ALIAS-navn og importeres separat. Sertifikatkjeden må også importeres fra slik den ble presentert i trinn 3, a (ovenfra og ned).
- Bytt ut JAVA_PATH med banen til JAVA-installasjonen, varierer banenavnet basert på JAVA-versjonen som er installert.
- Bytt ut passordet med JAVA-lagerpasset. Standardverdien er changeit.
- Erstatt PATH_TO\CERT_FILE med plasseringen av sertfilen du opprettet i trinn 3,c.
- Du blir bedt om å importere sertifikatet, skrive ja og trykke på Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Bekreft at sertifikatet vises i nøkkellageret:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
MERK: Pipe (|) the operating system grep or findstr command to the above to narrow the results (Pipe (|) operativsystemet grep - eller findstr-kommandoen til ovennevnte for å begrense resultatene.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Start NetWorker-servertjenestene på nytt.
Linux:
nsr_shutdown
start
av service networkerWindows: net stop nsrd
net start nsrd
MERK: Hvis NetWorker-servertjenestene ikke startes på nytt, vil ikke authc lese cacerts-filen, og den vil ikke oppdage de importerte sertifikatene som kreves for å etablere SSL-kommunikasjon med LDAP-serveren.
7, a) Oppdater skriptet authc-create-ad-config (Active Directory) ELLER authc-create-ldap-config (LDAP) for å bruke LDAPS:
Plasseringen:
Linux |
/opt/nsr/authc-server/scripts/ |
Windows |
[INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
MERK: Hvis du legger til en ny config "-e add-config" skal brukes, bør du bruke en eksisterende config "-e update-config" hvis du oppdaterer en eksisterende config "-e update-config". I config-server-address-linjen angir du protokollen "ldaps" (må være små bokstaver) og port "636".
7,b) Kjør skriptet fra kommandolinjen. Den skal rapportere at konfigurasjonen er oppdatert/lagt til.
8) Bekreft at konfigurasjonen er oppdatert:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- Du blir bedt om å angi networker-administratorpassordet for hver kommando. Kommandoen kan kjøres med «-p-passord»-flagget, men dette kan mislykkes på enkelte operativsystemer på grunn av at du bruker et slett tekstpassord.
- Erstatt CONFIG_ID med konfigurasjons-ID-en samlet inn med den første kommandoen:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
Serveren godkjennes nå med AD/LDAP over LDAPS.
Hvis det oppstår feil eller problemer når du følger denne prosedyren, må du ta kontakt med CA-administratoren for å forsikre deg om at de riktige sertifikatene blir brukt/trukket.
Enten du bruker Windows Active Directory eller Linux LDAP (f.eks. OpenLDAP) LDAP-protokollen brukes til godkjenning. LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom applikasjonen og nettverkskatalogen eller domenekontrolleren i infrastrukturen.
LDAP overfører kommunikasjon i klartekst, og LDAPS-kommunikasjon er kryptert og sikker.