Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker: LDAPS Kimlik authc_config yapılandırmak için komut dosyalarını kullanma

Summary: NetWorker'ın komut dosyalarını kullanarak LDAPS üzerinden AD/LDAP kimlik doğrulamasını yapılandırmaya authc_config genel bakış. Bu, mevcut bir LDAP yapılandırmasını LDAPS'ye yükseltmek/dönüştürmek için de kullanılabilir. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Bu KB öncelikli olarak LDAPS'yi yapılandırmak için ne gerektiğine odaklanarak AD/LDAP'yi NetWorker ile entegre etmek için nelerin gerekli olduğuna ilişkin daha kapsamlı bir açıklama için bkz. NetWorker: AD/LDAP Kimlik Doğrulamasını Ayarlama (İngilizce)

NOT: Harici Yetki, NetWorker Yönetim Konsolu ve NetWorker Web Kullanıcı Arabiriminden (NWUI) yayılabilirsiniz; ancak ACTIVE Directory'yi LDAPS üzerinden yapılandırmanın genellikle authc_config komut dosyasının veya NWUI'nin (19.7 ve üzeri) kullanılması önerilir. NMC yapılandırma seçeneği yalnızca "SSL üzerinden LDAP" sunar; Bu seçenek kullanılırsa "Active Directory: false" (Active Directory: false) olarak ayarlıdır. Bu seçenek, kimlik doğrulama sunucusunun Microsoft Active Directory yerine LDAP olmasını önerir. Bu, oturum açmanın başarısız olmasıyla sonuçlanmıştır. Bu KB'de özetlenen işlem, komut dosyası kullanılarak LDAPS'nin nasıl authc_configure açıklanmıştır. NWUI (19.7 ve sonraki sürümler) "SSL üzerinden AD" seçeneği sunar. NetWorker: NetWorker Web Kullanıcı Arabiriminden (NWUI) "SSL üzerinden AD" (LDAPS) yapılandırma

Ad/LDAP yapılandırmasının ilk olarak LDAP üzerinden çalışmasını ve ardından olası yapılandırma sorunlarını eleyip eleyip LDAPS'ye dönüştürmeniz önerilir.

LDAPS'yi kullanmak için CA sertifikasını (veya sertifika zincirini) LDAPS sunucusundan JAVA trust anahtar deposuna içe aktarmanız gerekir. Bu, aşağıdaki prosedürle yapılabilir:
1) Bir yönetici/kök komut istemi açın.

2,a) Trust store'da geçerli güvenilir sertifikaların listesini görüntüleme. 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD 
  • Genellikle JAVA ikili konumu, "keytool" her yerden çalıştırılabilmesi için işletim sistemi PATH  çevresel değişkeninin bir parçasıdır. İşletim sistemi keytool ikili dosyasını bulamazsa. NetWorker sunucu üzerindeki JAVA \bin dizininden keytool komutlarını çalıştırın.
  • Bu JAVA_PATH JAVA yüklemenizin yoluyla değiştirin. Yol adı, yüklü JAVA sürümüne bağlı olarak değişir.
    • NetWorker Çalışma Zamanı Ortamı (NRE) yüklü sistemlerde bu genellikle:
      • Linux: /opt/nre/java/latest/
      • Windows: C:\Program Files\NRE\java\jre-###
  • Parolayı JAVA storepass ile değiştirin. Varsayılan değer changeit'tir.
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 156 entries

emcauthctomcat, 9-Jul-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 01:9B:AF:A4:0D:DA:33:6D:AE:7A:76:8D:84:D5:EB:E2:63:13:0A:0A
...
...

2,b) LDAPS sunucuyla eşleşen diğer adlar için listeye bakın (bu mevcut olabilir). Arama işlemini daraltmak için yukarıdaki komutla işletim sistemi grep/findstr komutlarını kullanılabilir. LDAPS sisteminizde eski/mevcut bir CA sertifikası varsa bunu aşağıdaki komutla silin: 
keytool -delete -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
  • 2 ALIAS_NAME çıktıdan toplanan LDAPS sunucusunun diğer ad adıyla değiştirin.

3,a) CA sertifikasının bir kopyasını LDAPS sunucusundan almak için OpenSSL aracını kullanın. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Varsayılan olarak Windows ana bilgisayarları, openssl programı içermez. OpenSSL'yi NetWorker sunucusuna yüklemek mümkün değilse sertifikalar doğrudan LDAPS sunucusundan dışa aktarabilirsiniz; ancak OpenSSL yardımcı programını kullanmak kesinlikle önerilir.
  • OpenSSL ikili dosyaları dizininin yolu, İşletim Sistemi YOLU çevresel değişkeninin bir parçası yoksa, OpenSSL komutlarını ikili konumlarından çalıştırmaniz gerekir.
  • OpenSSL'niz yoksa ve yükemezse AD yöneticinizin sertifikaları Base-64 kodlanmış x.509 biçimi olarak dışa aktararak sertifikalarını sağlamasını silemezsiniz.
  • Bu LDAPS_SERVER LDAPS sisteminizin ana bilgisayar adı veya IP adresiyle değiştirin.

3,b) Yukarıdaki komut CA sertifikasını veya sertifika zincirini PEM biçiminde görüntüler, ör. 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
NOT: Sertifika zinciri varsa son sertifika CA sertifikasıdır. CA sertifikasıyla biten her bir sertifikayı sırayla (yukarıdan aşağı) içe aktarmanız gerekir. 

3,c) Sertifikayı --- SERTIFIKADAN başlayarak------END CERTIFICATE--- ile biteni kopyalayın ve yeni bir dosyaya yapıştırın. Bir sertifika zinciri varsa bunu her sertifikayla yapmanız gerekir.

4) 3,c'de oluşturulan sertifikaları JAVA güven anahtar deposuna içe aktarin: 
keytool -import -alias ALIAS_NAME -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD -file PATH_TO\CERT_FILE
  • İçe ALIAS_NAME sertifika için diğer adla değiştirin. Bu genellikle LDAPS sunucu adıdır. Bir sertifika zinciri için birden fazla sertifikayı içe aktarmanız gerekiyorsa her sertifikanın farklı bir ALIAS adı olması ve ayrı olarak içe aktarılmış olması gerekir. Sertifika zincirinin, 3. adımda (yukarıdan aşağı) nasıl sunulduklarından da içe aktarılmalıdır.
  • Bu JAVA_PATH JAVA yüklemenizin yoluyla değiştirin. Yol adı, yüklü JAVA sürümüne bağlı olarak değişir.
  • Parolayı JAVA storepass ile değiştirin. Varsayılan değer changeit'tir.
  • PATH_TO\CERT_FILE 3. adımda oluşturduğunuz sertifika dosyasının konumuyla değiştirin.
  • Sertifikayı içe aktarmanız, yes (evet) yazın ve Enter tuşuna basın.
[root@rhel7 /]# keytool -import -alias winsrvr2k16-ca -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit -file /certificates/ca.cer
Owner: CN=WINSRVR2K16.emclab.local
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 6e00000008b0927832010583c3000200000008
Valid from: Wed Sep 12 10:02:47 EDT 2018 until: Thu Sep 12 10:02:47 EDT 2019
Certificate fingerprints:
         MD5:  08:FB:DE:58:7B:FC:62:C7:31:5D:37:28:2C:54:6D:68
         SHA1: 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
         SHA256: AD:0B:2B:2F:FC:B8:9E:ED:48:16:38:04:A7:CA:6B:55:D9:92:88:CD:54:BB:84:C6:4D:5A:28:E2:35:04:B5:C7
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

5) Sertifikanın anahtar deposunda gösterildiğini onaylayın: 
keytool -list -keystore JAVA_PATH/jre/lib/security/cacerts -storepass PASSWORD
NOT: Sonuçları daraltmak için işletim sistemi grep veya findstr komutunu yukarıdan geçirin (|).  
[root@rhel7 /]# keytool -list -keystore /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.151-1.b12.el7_4.x86_64/jre/lib/security/cacerts -storepass changeit | grep -i -A1 "winsrvr2k16*"
winsrvr2k16-ca, 12-Sep-2018, trustedCertEntry,
Certificate fingerprint (SHA1): 06:72:D0:E9:19:31:8E:F6:2A:3A:47:60:52:91:0F:4F:2B:EB:10:9D
 
6) NetWorker sunucu hizmetlerini yeniden başlatın. 
Linux: 
nsr_shutdown
      servis ağ aygıtı başlangıcı
Windows: net stop nsrd net start nsrd (net stop nsrd
net start nsrd)
 
NOT: NetWorker sunucu hizmetleri yeniden başlatılmazsa yetkili, cacerts dosyasını okumaz ve LDAP sunucusuyla SSL iletişimi kurmak için gereken içe aktarılan sertifikaları algılamaz.
 
7,a) LDAPS'yi kullanmak için authc-create-ad-config (Active Directory) VEYA authc-create-ldap-config (LDAP) komut dosyanızı güncelleştirin:
Konum:
Linux /opt/nsr/authc-server/scripts/ (/opt/nsr/authc-sunucu/komut dosyaları)
Windows [INSTALL DRIVE]:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ 
authc_config -u administrator -e update-config \
-D "config-tenant-id=1" \
-D "config-active-directory=y" \
-D "config-name=ad" \
-D "config-domain=emclab" \
-D "config-server-address=ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local" \
-D "config-user-dn=cn=Administrator,cn=Users,dc=emclab,dc=local" \
-D "config-user-dn-password=Pa$$w0rd01" \
-D "config-user-search-path=" \
-D "config-user-id-attr=sAMAccountName" \
-D "config-user-object-class=user" \
-D "config-group-search-path=" \
-D "config-group-name-attr=cn" \
-D "config-group-object-class=group" \
-D "config-group-member-attr=member" \
-D "config-user-search-filter=" \
-D "config-group-search-filter=" \
-D "config-search-subtree=y" \
-D "config-user-group-attr=memberOf" \
-D "config-object-class=objectClass
NOT: Yeni bir yapılandırma eklemek için "-e add-config" kullanılmalıdır. Mevcut bir yapılandırmayı güncellerseniz "-e update-config" kullanılmalıdır. Config-server-address address (sunucu adresi adres yapılandırması) satırında protokol "ldaps" (küçük harfe sahip olması gerekir) ve "636" bağlantı noktasını belirtin.
 
7,b) Komut satırından komut dosyasını çalıştırın. Yapılandırmanın başarıyla güncelleştirildiğini/ekildiğini bildirmesi gerekir.

8) Yapılandırmanın güncelleştirildiğini onaylayın: 
authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
  • Her bir komutla NetWorker Yönetici parolasını girmeniz istenir. "-p parolası" bayrağıyla komut çalıştırabilirsiniz ancak bu, temiz metin parolası kullanıldığından bazı işletim sisteminde başarısız olabilir.
  • Aşağıdaki CONFIG_ID ilk komutla toplanan yapılandırma kimliğiyle değiştirin:
[root@rhel7 /]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : ad
Config Domain                : emclab
Config Server Address        : ldaps://winsrvr2k16.emclab.local:636/DC=emclab,DC=local
Config User DN               : cn=Administrator,cn=Users,dc=emclab,dc=local
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Sunucu artık LDAPS üzerinden AD/LDAP ile kimlik doğrulanmaktadır.

Bu prosedürü takip ederken herhangi bir hata veya sorunla karşılaşırsa lütfen doğru sertifikaların kullanıldığından/çekinerek emin olmak için CA yöneticinize başvurun.

Additional Information

Windows Active Directory veya Linux LDAP kullanıyor olun (ör. OpenLDAP) LDAP protokolü kimlik doğrulaması için kullanılır. LDAP (Basit Dizin Uygulama Protokolü) ve Güvenli LDAP (LDAPS), uygulama ile altyapı içindeki Ağ Dizini veya Etki Alanı Denetleyicisi arasında kullanılan bağlantı protokolleridir.

LDAP, Clear Text (Metni Temizle) iletir ve LDAPS iletişimi şifrelenir ve güvenli hale gelir.

Affected Products

NetWorker

Products

NetWorker