NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)
Summary: Denne KB beskriver den proces, der er nødvendig for at konfigurere "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI). Muligheden for at konfigurere eksterne myndighedslagre fra NWUI blev gjort tilgængelige i NetWorker 19.6.x og nyere. ...
This article applies to
This article does not apply to
Instructions
Hvis du vil konfigurere en SSL-forbindelse til godkendelse, skal rodnøglecenteret (eller CA-kæden ved brug) importeres til den cacerts-fil, der anvendes af NetWorker-hjælpeprogrammets proces.
3, b) Ovenstående kommando udskriver NØGLE-certifikatet eller en certifikatkæde i PEM-format, f.eks.:
3, c) Kopier certifikatet fra ---BEGIN CERTIFICATE--- og slutter med ---END CERTIFICATE--- og indsæt det i en ny fil. Hvis der er en kæde af certifikater, skal du gøre det med hvert certifikat.
4) Importer certifikatet eller certifikater, der er oprettet i 3, c til JAVA-tillidsnøglelageret:
Linux: nsr_shutdown
tjenestenetværksudbyder starter
Windows: net stop nsrd
net start nsrd
6. Når du er færdig, skal du klikke på Gem.
7. Der bør nu vises en oversigt over den konfigurerede eksterne myndighedsressource:
Konfiguration af AUTHC til at bruge SSL
1) Åbn en administrativ/root-kommandoprompt i Java-bin-mappen.- Hvis du bruger NetWorker Runtime Environment (NRE) til AUTHC-serverens Java-forekomst, er placeringen:
- Linux: /opt/nre/java/latest/bin/
- Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
- Hvis du bruger Oracle Java, kan filstien variere afhængigt af den installerede placering og den anvendte Java-version.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Standardadgangskoden for storepasset er changeit.
- På Windows-servere køres keytool-kommandoen fra Java-bin-mappen, men den ser nogenlunde sådan ud:
- keytool -list -keystore .. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Erstat ALIAS_NAME med aliasnavnet på den LDAPS-server, der er indsamlet fra outputtet i 2, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- Windows-værter inkluderer som standard ikke openssl-programmet. Hvis det ikke er muligt at installere OpenSSL på NetWorker-serveren, kan certifikaterne eksporteres direkte fra LDAPS-serveren. det anbefales dog kraftigt at bruge OpenSSL-hjælpeprogrammet.
- Linux leveres typisk med opensl installeret, hvis du har Linux-servere i miljøet, kan du bruge openssl der til at indsamle/oprette certifikatfilerne. Disse kan kopieres til og bruges på Windows authc-serveren.
- Hvis du ikke har OpenSSL, og det ikke kan installeres, har din AD-administrator angivet et eller flere certifikater ved at eksportere dem som Base-64-kodet x.509-format.
- Erstat LDAPS_SERVER med værtsnavnet eller IP-adressen på din LDAPS-server.
3, b) Ovenstående kommando udskriver NØGLE-certifikatet eller en certifikatkæde i PEM-format, f.eks.:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
BEMÆRK: Hvis der er en certifikatkæde, er det sidste certifikat nøglecentercertifikatet. Du skal importere hvert certifikat i kæden i rækkefølge (top-ned), der slutter med nøglecentercertifikatet.
3, c) Kopier certifikatet fra ---BEGIN CERTIFICATE--- og slutter med ---END CERTIFICATE--- og indsæt det i en ny fil. Hvis der er en kæde af certifikater, skal du gøre det med hvert certifikat.
4) Importer certifikatet eller certifikater, der er oprettet i 3, c til JAVA-tillidsnøglelageret:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Erstat ALIAS_NAME med et alias for det importerede certifikat. Dette er typisk LDAPS-servernavnet. Når du importerer flere certifikater til en certifikatkæde, skal hvert certifikat have et andet ALIAS-navn og importeres separat. Certifikatkæden skal også importeres i rækkefølge fra trin 3, a (top-down).
- Erstat PATH_TO\CERT_FILE med placeringen af den cert-fil, du oprettede i trin 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
BEMÆRK: Rør ved (|) operativsystemets grep- eller findstr-kommando ovenfor for at indsnævre resultatet.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Genstart NetWorker-servertjenesterne.
Linux: nsr_shutdown
tjenestenetværksudbyder starter
Windows: net stop nsrd
net start nsrd
BEMÆRK: Hvis NetWorker-servertjenesterne ikke genstartes, vil authc ikke læse cacerts-filen, og den vil ikke registrere de importerede certifikater, der er nødvendige for at oprette SSL-kommunikation med LDAP-serveren.
Oprettelse af en "AD over SSL"-ekstern myndighedsressource fra NWUI
1. Fra en webbrowser skal du åbne NWUI-serveren:
https://nwui-server-name:9090/nwui2. Log på med NetWorker Administrator-kontoen.
3. I menuen skal du udvide godkendelsesserveren og klikke på Eksterne myndigheder.
4. Fra eksterne myndigheder skal du klikke på Add+.
5. Udfyld konfigurationsfelterne:
| Feltet | Værdi |
| Navn | Et beskrivende navn uden mellemrum til LDAP- eller AD-konfigurationen. Det maksimale antal tegn er 256. Angiv kun ASCII-tegn i konfigurationsnavnet. |
| Servertype | AD over SSL |
| Udbyderservernavn | Angiver værtsnavnet eller IP-adressen på Active Directory-serveren |
| Port | Port 636 bruges til SSL. Dette felt bør udfyldes automatisk, hvis "AD over SSL" er valgt. |
| Lejer | Vælg lejer, hvis den er konfigureret. Hvis ingen lejer er konfigureret eller påkrævet, kan du bruge "standard". Konfiguration af en lejer kræver følgende loginsyntaks "tenant_name\domain_name\user_name." Hvis standardbrugeren bruges (fælles), er loginsyntaksen "domain_name\user_name". Tenant (Lejer) – organisationsbeholder på øverste niveau til NetWorker Authentication Service. Hver ekstern godkendelsesmyndighed i den lokale database tildeles en lejer. En lejer kan indeholde et eller flere domæner, men domænenavnene skal være entydige i tenanten. NetWorker Authentication Service opretter et indbygget lejernavn standard, som indeholder standarddomænet. Oprettelse af flere lejere hjælper dig med at administrere komplekse konfigurationer. F.eks. kan serviceudbydere med begrænsede datazoner (RDZ) oprette flere lejere for at levere isolerede databeskyttelsestjenester til lejerbrugere. |
| Domæne | Det fulde domænenavn, herunder alle DC-værdier. f.eks.: example.com |
| Bruger-DN | Angiver det fulde entydige navn (DN) på en brugerkonto, der har fuld læseadgang til AD-mappen. |
| Bruger-DN-adgangskode | Angiver adgangskoden til den brugerkonto, der bruges til at få adgang til og læse AD Direct |
| Group Object Class | Kræves. Objektklassen, der identificerer grupper i LDAP- eller AD-hierarkiet. • Til LDAP skal du bruge groupOfUniqueNames eller groupOfNames. For AD skal du bruge gruppe. |
| Søgesti til gruppe (valgfrit tilbehør) | Et DN, der angiver den søgesti, som godkendelsestjenesten skal bruge, når der søges efter grupper i LDAP- eller AD-hierarkiet. |
| Attribut for gruppenavn | Attributten, der identificerer gruppenavnet. F.eks. cn. |
| Attribut for gruppemedlem | Gruppemedlemskab for brugeren i en gruppe. • Til LDAP: ○ Når Group Object Class er groupOfNames , er attributten almindeligvis medlem. ○ Når gruppeobjektklassen er groupOfUniqueNames , er attributten almindeligvis entydig. * For AD er værdien almindeligvis medlem. |
| Brugerobjektklasse | Objektklassen, der identificerer brugerne i LDAP- eller AD-hierarkiet. F.eks. person. |
| Brugersøgesti (valgfrit tilbehør) | Det DN, der angiver den søgesti, som godkendelsestjenesten skal bruge, når der søges efter brugere i LDAP- eller AD-hierarkiet. Angiv en søgesti, der er i forhold til den grundlæggende DN, som du har angivet i konfigurationsserveradresseindstillingen. For AD angives f.eks. cn=users. |
| Attribut for bruger-id | Det bruger-id, der er knyttet til brugerobjektet i LDAP- eller AD-hierarkiet. For LDAP er denne attribut ofte uid. For AD er denne attribut ofte sAMAccountName. |
BEMÆRK: Kontakt din AD/LDAP-administrator for at få bekræftet, hvilke AD/LDAP-specifikke felter der er nødvendige for dit miljø.
6. Når du er færdig, skal du klikke på Gem.
7. Der bør nu vises en oversigt over den konfigurerede eksterne myndighedsressource:
8. I menuen Server->Brugergrupper redigeres de brugergrupper, der indeholder de rettigheder, du vil delegere til AD/LDAP-grupper eller brugere. For at tildele fulde administratorrettigheder skal AD-gruppe/bruger-DN angives i feltet Eksterne roller for programadministratorer og sikkerhedsadministratorroller.
F.eks: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. Når AD-gruppen og/eller bruger-DC'erne er blevet angivet, skal du klikke på Gem.
10. Log ud af NWUI-grænsefladen, og log ind igen ved hjælp af AD-kontoen:
11. Brugerikonet i øverste højre hjørne angiver, hvilken brugerkonto der er logget på.
Additional Information
Du kan bruge kommandoen authc_mgmt på din NetWorker-server til at bekræfte, at AD/LDAP-grupper/brugere er synlige:
Yderligere ressourcer:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
F.eks:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
BEMÆRK: På nogle systemer kan authc-kommandoerne mislykkes med fejlen "forkert adgangskode", selv når den korrekte adgangskode er angivet. Dette skyldes, at adgangskoden er angivet som synlig tekst med indstillingen "-p". Hvis du støder på dette, skal du fjerne "-p password" fra kommandoerne. Du vil blive bedt om at indtaste adgangskoden, efter at du har kørt kommandoen.
Yderligere ressourcer: