Este artigo da KB se concentra principalmente no que é necessário para configurar o LDAPS, para obter uma explicação mais ampla do que é necessário para integrar o AD/LDAP ao NetWorker. Consulte:
NetWorker: Como configurar a autenticação do AD/LDAP
Nota: A autoridade externa pode ser configurada a partir do NetWorker Management Console e da interface do usuário da Web do NetWorker (NWUI); No entanto, a configuração do Active Directory via LDAPS geralmente é recomendada para usar o script authc_config ou a NWUI (19.7 e posterior). A opção de configuração do NMC oferece apenas "LDAP over SSL"; Se essa opção for usada, ela definirá "Active Directory: false". Essa opção espera que o servidor de autenticação seja LDAP em vez do Microsoft Active Directory. Isso resultará em log-ins com falha. O processo descrito neste artigo da KB detalha como configurar o LDAPS usando o authc_configure script. A NWUI (19.7 e posterior) oferece uma opção "AD over SSL".
NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
É recomendável fazer com que a configuração do AD/LDAP funcione em LDAP primeiro e, em seguida, convertê-la em LDAPS para descartar possíveis problemas de configuração.
Para usar o LDAPS, você deve importar o certificado ca (ou cadeia de certificados) do servidor LDAPS para o keystore de confiança java. Isso pode ser feito com o seguinte procedimento:
1) Abra um prompt de comando administrativo/root.
2,a) Exibe uma lista de certificados confiáveis atuais no armazenamento confiável.
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Normalmente, a localização binária JAVA faz parte da variável ambiental DO CAMINHO do SO para que o "keytool" possa ser executado de qualquer lugar. Se o sistema operacional não conseguir localizar o binário do keytool. Execute os comandos keytool do diretório JAVA \bin em seu servidor do NetWorker.
- Substitua JAVA_PATH pelo caminho para a instalação do JAVA, o nome do caminho varia de acordo com a versão java instalada.
- Em sistemas com o NetWorker Runtime Environment (NRE) instalado, geralmente é:
- Linux: /opt/nre/java/latest/
- Windows: C:\Program Files\NRE\java\jre-###
- Substitua a senha pelo java storepass. O valor padrão é changeit.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 156 entries
emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...
2,b) Analise a lista para obter um alias que corresponda ao servidor LDAPS (isso pode não existir). Você pode usar os comandos grep/findstr do sistema operacional com o comando acima para restringir a pesquisa. Se houver um certificado ca desatualizado/existente de seu servidor LDAPS, exclua-o com o seguinte comando:
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
- Substitua ALIAS_NAME pelo nome de alias do servidor LDAPS coletado do resultado em 2,a.
3,a) Use a ferramenta OpenSSL para obter uma cópia do certificado CA do servidor LDAPS.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Por padrão, os hosts do Windows não incluem o programa openssl. Se não for possível instalar o OpenSSL no servidor do NetWorker, os certificados poderão ser exportados diretamente do servidor LDAPS; no entanto, é altamente recomendável usar o utilitário OpenSSL.
- A menos que o caminho para o diretório de binários do OpenSSL faça parte da variável ambiental PATH do SO, você precisará executar os comandos do OpenSSL a partir do local binário.
- Se você não tiver o OpenSSL e ele não puder ser instalado, peça que o administrador do AD forneça os certificados exportando-os como o formato Base-64 codificado x.509.
- Substitua LDAPS_SERVER pelo hostname ou endereço IP do servidor LDAPS.
3,b) O comando acima gerará o certificado ca ou uma cadeia de certificados no formato PEM, por exemplo:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
Nota: Se houver uma cadeia de certificados, o último certificado será o certificado ca. Você precisará importar cada certificado na cadeia em ordem (de cima para baixo) que termina com o certificado ca.
3,c) Copie o certificado iniciando
---BEGIN CERTIFICATE--- e terminando com ---
END CERTIFICATE--- e cole-o em um novo arquivo. Se houver uma cadeia de certificados, você precisará fazer isso com cada certificado.
4) Importe os certificados criados em 3,c para o keystore de confiança JAVA:
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
- Substitua ALIAS_NAME por um alias para o certificado importado. Normalmente, esse é o nome do servidor LDAPS. Se você precisar importar vários certificados para uma cadeia de certificados, cada certificado deve ter um nome de ALIAS diferente e ser importado separadamente. A cadeia de certificados também deve ser importada em ordem de como ela foi apresentada na etapa 3, a (de cima para baixo).
- Substitua JAVA_PATH pelo caminho para a instalação do JAVA, o nome do caminho varia de acordo com a versão java instalada.
- Substitua a senha pelo java storepass. O valor padrão é changeit.
- Substitua PATH_TO\CERT_FILE pelo local do arquivo cert que você criou na etapa 3,c.
- Você será solicitado a importar o certificado, digite yes e pressione Enter.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
MD5: 08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
5) Confirme se o certificado é mostrado no keystore:
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
Nota: Pipe (|) o comando grep ou findstr do sistema operacional para o acima para restringir os resultados.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
6) Reinicie os serviços de servidor do NetWorker.
Linux:
nsr_shutdown
início do networker de serviço
Windows: net stop nsrd
net start nsrd
Nota: Se os serviços de servidor do NetWorker não forem reiniciados, o authc não lerá o arquivo cacerts e não detectará os certificados importados necessários para estabelecer a comunicação SSL com o servidor LDAP.
7,a) Atualize seu script authc-create-ad-config (Active Directory) OU authc-create-ldap-config (LDAP) para usar lDAPS:
Localização:
| Linux |
/opt/nsr/authc-server/scripts/ |
| Windows |
[INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ |
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
Nota: Se você estiver adicionando uma nova configuração "-e add-config", se você estiver atualizando uma configuração existente "-e update-config" deverá ser usada. Na linha de endereço config-server-address, especifique o protocolo "ldaps" (deve ser minúscula) e a porta "636".
7,b) Execute o script na linha de comando. Ele deve relatar que a configuração foi atualizada/adicionada com sucesso.
8) Confirme se a configuração foi atualizada:
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
- Você será solicitado a digitar a senha de administrador do NetWorker com cada comando. O comando pode ser executado com o indicador "-p password", mas isso pode falhar em alguns sistemas operacional devido ao uso da senha de texto não criptografado.
- Substitua CONFIG_ID pelo ID de configuração coletado com o primeiro comando:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : ad
Config Domain : emclab
Config Server Address : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute : memberOf
Config User ID Attribute : sAMAccountName
Config User Object Class : user
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectClass
Is Active Directory : true
Config Search Subtree : true
O servidor agora está autenticando com o AD/LDAP via LDAPS.
Se algum erro ou problema for encontrado ao seguir este procedimento, verifique com o administrador da CA para garantir que os certificados corretos estejam sendo usados/retirados.
Se você estiver usando o Windows Active Directory ou Linux LDAP (por exemplo: OpenLDAP) o protocolo LDAP é usado para autenticação. LDAP (Lightweight Directory Application Protocol) e LDAPS (Secure LDAPS) são os protocolos de conexão usados entre o aplicativo e o diretório de rede ou controlador de domínio dentro da infraestrutura.
O LDAP transmite comunicações em Texto claro, e a comunicação LDAPS é criptografada e segura.