Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker: Slik bruker du authc_config skript til å konfigurere LDAPS-godkjenning

Summary: Generell oversikt over konfigurering av AD/LDAP-godkjenning over LDAPS ved hjelp av NetWorkers authc_config skript. Dette kan også brukes når du oppgraderer/konverterer en eksisterende LDAP-konfigurasjon til LDAPS. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Denne KB-en fokuserer primært på det som trengs for å konfigurere LDAPS. Hvis du vil ha en bredere forklaring på hva som trengs for å integrere AD/LDAP med NetWorker, kan du se: NetWorker: Slik konfigurerer du AD/LDAP-godkjenning

MERK: Ekstern myndighet kan konfigureres fra NetWorker Management Console og NetWorker Web User Interface (NWUI), Det anbefales imidlertid vanligvis at du konfigurerer Active Directory over LDAPS for å bruke authc_config-skriptet eller NWUI (19.7 og nyere). NMC-konfigurasjonsalternativet gir bare "LDAP over SSL"; Hvis dette alternativet brukes, vil det angi "Active Directory: false". Dette alternativet forventer at godkjenningsserveren er LDAP i stedet for Microsoft Active Directory. Dette vil føre til mislykkede pålogginger. Prosessen som er beskrevet i denne KB-en, inneholder informasjon om hvordan du konfigurerer LDAPS ved hjelp av authc_configure skriptet. NWUI (19.7 og nyere) tilbyr et alternativ for AD over SSL. NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)

Det anbefales å få AD/LDAP-konfigurasjonen til å fungere over LDAP først, og deretter konvertere den til LDAPS for å utelukke potensielle konfigurasjonsproblemer.

Hvis du vil bruke LDAPS, må du importere CA-sertifikatet (eller sertifikatkjeden) fra LDAPS-serveren til JAVA Trust-nøkkellageret. Dette kan gjøres med følgende fremgangsmåte:
1) Åpne en ledetekst for administrator/rot.

2,a) Vis en liste over gjeldende klarerte sertifikater i Trust Store. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Vanligvis er JAVA-binærplasseringen en del av miljøvariabelen for OS PATH, slik at «keytool» kan kjøres fra hvor som helst. Hvis operativsystemet ikke finner den binære tastetoolen. Kjør keytool-kommandoene fra JAVA \bin-katalogen på NetWorker-serveren.
  • Bytt ut JAVA_PATH med banen til JAVA-installasjonen, varierer banenavnet basert på JAVA-versjonen som er installert.
    • På systemer med NetWorker Runtime Environment (NRE) installert er dette vanligvis:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Programfiler\NRE\java\jre-###
  • Bytt ut passordet med JAVA-lagerpasset. Standardverdien er changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) Se gjennom listen etter et alias som samsvarer med LDAPS-serveren (dette finnes kanskje ikke). Du kan bruke kommandoene grep/findstr for operativsystemet med kommandoen ovenfor for å begrense søket. Hvis det finnes et utdatert/eksisterende CA-sertifikat fra LDAPS-serveren, sletter du det med følgende kommando: 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • Erstatt ALIAS_NAME med aliasnavnet til LDAPS-serveren som ble samlet inn fra utdataene i 2,a.

3,a) Bruk OpenSSL-verktøyet til å hente en kopi av CA-sertifikatet fra LDAPS-serveren. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Som standard inkluderer ikke Windows-verter opensl-programmet. Hvis det ikke er mulig å installere OpenSSL på NetWorker-serveren, kan sertifikatene eksporteres direkte fra LDAPS-serveren. Det anbefales imidlertid på det sterkeste å bruke OpenSSL-verktøyet.
  • Med mindre banen til OpenSSL-binærkatalogen er en del av miljøvariabelen for OS PATH, må du kjøre OpenSSL-kommandoene fra den binære plasseringen.
  • Hvis du ikke har OpenSSL, og den ikke kan installeres, må AD-administratoren oppgi sertifikatene ved å eksportere dem som Basis-64-kodet x.509-format.
  • Bytt ut LDAPS_SERVER med vertsnavnet eller IP-adressen til LDAPS-serveren.

3,b) Kommandoen ovenfor vil sende CA-sertifikatet eller en kjede av sertifikater i PEM-format, f.eks. 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
MERK: Hvis det finnes en kjede av sertifikater, er det siste sertifikatet CA-sertifikatet. Du må importere hvert sertifikat i kjeden i rekkefølge (ovenfra og ned) og avslutte med CA-sertifikatet. 

3,c) Kopier sertifikatet fra ---BEGIN CERTIFICATE--- og slutt med ---END CERTIFICATE--- og lim det inn i en ny fil. Hvis det finnes en kjede av sertifikater, må du gjøre dette med hvert sertifikat.

4) Importer sertifikatene som ble opprettet i 3,c, til JAVA Trust-nøkkellageret: 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • Bytt ut ALIAS_NAME med et alias for det importerte sertifikatet. Dette er vanligvis navnet på LDAPS-serveren. Hvis du må importere flere sertifikater for en sertifikatkjede, må hvert sertifikat ha et annet ALIAS-navn og importeres separat. Sertifikatkjeden må også importeres fra slik den ble presentert i trinn 3, a (ovenfra og ned).
  • Bytt ut JAVA_PATH med banen til JAVA-installasjonen, varierer banenavnet basert på JAVA-versjonen som er installert.
  • Bytt ut passordet med JAVA-lagerpasset. Standardverdien er changeit.
  • Erstatt PATH_TO\CERT_FILE med plasseringen av sertfilen du opprettet i trinn 3,c.
  • Du blir bedt om å importere sertifikatet, skrive ja og trykke på Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Bekreft at sertifikatet vises i nøkkellageret: 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
MERK: Pipe (|) the operating system grep or findstr command to the above to narrow the results (Pipe (|) operativsystemet grep - eller findstr-kommandoen til ovennevnte for å begrense resultatene.  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) Start NetWorker-servertjenestene på nytt. 
Linux: 
nsr_shutdown
      start
av service networkerWindows: net stop nsrd
net start nsrd
 
MERK: Hvis NetWorker-servertjenestene ikke startes på nytt, vil ikke authc lese cacerts-filen, og den vil ikke oppdage de importerte sertifikatene som kreves for å etablere SSL-kommunikasjon med LDAP-serveren.
 
7, a) Oppdater skriptet authc-create-ad-config (Active Directory) ELLER authc-create-ldap-config (LDAP) for å bruke LDAPS:
Plasseringen:
Linux /opt/nsr/authc-server/scripts/
Windows [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
MERK: Hvis du legger til en ny config "-e add-config" skal brukes, bør du bruke en eksisterende config "-e update-config" hvis du oppdaterer en eksisterende config "-e update-config". I config-server-address-linjen angir du protokollen "ldaps" (må være små bokstaver) og port "636".
 
7,b) Kjør skriptet fra kommandolinjen. Den skal rapportere at konfigurasjonen er oppdatert/lagt til.

8) Bekreft at konfigurasjonen er oppdatert: 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Du blir bedt om å angi networker-administratorpassordet for hver kommando. Kommandoen kan kjøres med «-p-passord»-flagget, men dette kan mislykkes på enkelte operativsystemer på grunn av at du bruker et slett tekstpassord.
  • Erstatt CONFIG_ID med konfigurasjons-ID-en samlet inn med den første kommandoen:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Serveren godkjennes nå med AD/LDAP over LDAPS.

Hvis det oppstår feil eller problemer når du følger denne prosedyren, må du ta kontakt med CA-administratoren for å forsikre deg om at de riktige sertifikatene blir brukt/trukket.

Additional Information

Enten du bruker Windows Active Directory eller Linux LDAP (f.eks. OpenLDAP) LDAP-protokollen brukes til godkjenning. LDAP (Lightweight Directory Application Protocol) og Secure LDAP (LDAPS) er tilkoblingsprotokollene som brukes mellom applikasjonen og nettverkskatalogen eller domenekontrolleren i infrastrukturen.

LDAP overfører kommunikasjon i klartekst, og LDAPS-kommunikasjon er kryptert og sikker.

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020799
Article Type: How To
Last Modified: 03 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.