NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)

Para configurar una conexión SSL para la autenticación, la CA raíz (o la cadena de CA cuando se utiliza) se debe importar al archivo cacerts que utiliza el proceso de autenticación de NetWorker.

Configuración de AUTHC para usar SSL

1) Abra un símbolo del sistema administrativo/raíz en el directorio bin de Java.

• Si utiliza NetWorker Runtime Environment (NRE) para la instancia java del servidor AUTHC, la ubicación es:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Archivos de programa\NRE\java\jrex. x. x_xxx\bin
• Si utiliza Java de Oracle, la ruta del archivo puede variar según la ubicación instalada y la versión de Java utilizada. 

2, a) Muestra una lista de certificados de confianza actuales en el almacén de confianza.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• La contraseña predeterminada para storepass es changeit.
• En los servidores de Windows, el comando keytool se ejecutaría desde el directorio bin de Java, pero se vería así:
  • keytool -list -keystore.. \lib\security\cacerts -storepass changeit

2, b) Revise la lista de un alias que coincida con el servidor LDAPS (es posible que esto no exista). Puede utilizar los comandos grep o findstr del sistema operativo con el comando anterior para limitar la búsqueda. Si hay un certificado de CA desactualizado o existente del servidor LDAPS, elimínelo con el siguiente comando:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Reemplace ALIAS_NAME por el nombre de alias del servidor LDAPS recopilado a partir de la salida en 2, a.

3, a) Utilice la herramienta OpenSSL para obtener una copia del certificado de CA desde el servidor LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• De manera predeterminada, los hosts de Windows no incluyen el programa openssl. Si no es posible instalar OpenSSL en el servidor de NetWorker, los certificados se pueden exportar directamente desde el servidor LDAPS; sin embargo, se recomienda encarecidamente utilizar la utilidad OpenSSL. 
• Por lo general, Linux viene con openssl instalado. Si tiene servidores Linux en el entorno, puede utilizar openssl allí para recopilar o crear los archivos de certificado. Estos se pueden copiar a y utilizar en el servidor authc de Windows.
• Si no tiene OpenSSL y no se puede instalar, haga que el administrador de AD proporcione uno o más certificados exportándolos como formato x.509 codificado en Base-64.
• Reemplace LDAPS_SERVER por el nombre de host o la dirección IP del servidor LDAPS.

3, b) El comando anterior genera el certificado de CA o una cadena de certificados en formato PEM, por ejemplo:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Copie el certificado a partir de ---BEGIN CERTIFICATE--- y termine con ---END CERTIFICATE--- y péguelo en un archivo nuevo. Si hay una cadena de certificados, debe hacerlo con cada certificado.

4) Importe el certificado o los certificados creados en 3, c en el almacén de claves de confianza de JAVA:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Reemplace ALIAS_NAME por un alias para el certificado importado. Por lo general, este es el nombre del servidor LDAPS. Cuando se importan varios certificados para una cadena de certificados, cada certificado debe tener un nombre DE ALIAS diferente y se debe importar por separado. La cadena de certificados también se debe importar en orden desde el paso 3, a (arriba hacia abajo).
• Reemplace PATH_TO\CERT_FILE con la ubicación del archivo de certificado que creó en el paso 3, c.

Se le solicitará importar el certificado, escriba yes y presione Intro.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Reinicie los servicios de servidor de NetWorker. 
 
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
 

 

Creación de un recurso de autoridad externa "AD mediante SSL" desde NWUI

1. Desde un navegador web, acceda al servidor de NWUI:
https://nwui-server-name:9090/nwui2. Inicie sesión con la cuenta de administrador de NetWorker.
3. En el menú, expanda Servidor de autenticación y haga clic en Autoridades externas.
4. En Autoridades externas, haga clic en Agregar+.
5. Complete los campos de configuración:

Configuración básica:

Campo	Valor
Nombre	Un nombre descriptivo, sin espacios para la configuración de LDAP o AD. La cantidad máxima de caracteres es 256. Especifique caracteres ASCII solo en el nombre de configuración.
Tipo de servidor	AD a través de SSL
Nombre del servidor proveedor	Especifica el nombre de host o la dirección IP del servidor de Active Directory
Puerto	El puerto 636 se utiliza para SSL; este campo se debe completar automáticamente si se selecciona "AD a través de SSL".
Inquilino	Seleccione el grupo de usuarios si está configurado. Si no se configura ni se requiere ningún grupo de usuarios, puede usar el valor "predeterminado".  La configuración de un grupo de usuarios requiere la siguiente sintaxis de inicio de sesión "tenant_name\domain_name\user_name". Si se utiliza el grupo de usuarios predeterminado (común), la sintaxis de inicio de sesión es "domain_name\user_name".  Grupo de usuarios: contenedor organizacional de nivel superior para el servicio de autenticación de NetWorker. Cada autoridad de autenticación externa en la base de datos local se asigna a un grupo de usuarios. Un grupo de usuarios puede contener uno o más dominios, pero los nombres de dominio deben ser únicos dentro del grupo de usuarios. El servicio de autenticación de NetWorker crea un nombre de grupo de usuarios incorporado Predeterminado, que contiene el dominio predeterminado. La creación de varios grupos de usuarios lo ayuda a administrar configuraciones complejas. Por ejemplo, los proveedores de servicios con zonas de datos restringidas (RDZ) pueden crear varios grupos de usuarios para proporcionar servicios de protección de datos aislados a los usuarios de grupos de usuarios.
Dominio	El nombre de dominio completo, incluidos todos los valores de DC; P. ej.: example.com
DN de Usuario	Especifica el nombre distintivo completo (DN) de una cuenta de usuario que tiene acceso de lectura completo al directorio de AD.
Contraseña de DN de usuario	Especifica la contraseña de la cuenta de usuario que se utiliza para acceder y leer ad direct

 

Configuración avanzada:

Clase de objeto de grupo	Obligatorio. La clase de objeto que identifica grupos en la jerarquía de LDAP o AD. ● Para LDAP, utilice groupOfUniqueNames o groupOfNames. ● Para AD, utilice el grupo.
Ruta de búsqueda de grupo (opcional)	Un DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación cuando se buscan grupos en la jerarquía de LDAP o AD.
Atributo de nombre de grupo	Atributo que identifica el nombre del grupo. Por ejemplo, cn.
Atributo de miembro de grupo	La membresía en grupo del usuario dentro de un grupo. ● Para LDAP: ○ Cuando group Object Class es groupOfNames , el atributo es comúnmente miembro. ○ Cuando group Object Class es groupOfUniqueNames , el atributo es comúnmente un miembro único. ● Para AD, el valor suele ser miembro.
Clase de objeto de usuario	La clase de objeto que identifica a los usuarios en la jerarquía de LDAP o AD. Por ejemplo, person.
Ruta de búsqueda de usuarios (opcional)	El DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación cuando se buscan usuarios en la jerarquía de LDAP o AD. Especifique una ruta de búsqueda relativa al DN base que especificó en la opción configserver-address. Por ejemplo, para AD, especifique cn=users.
Atributo de ID de usuario	El ID de usuario asociado con el objeto de usuario en la jerarquía de LDAP o AD. Para LDAP, este atributo es comúnmente uid. Para AD, este atributo es comúnmente sAMAccountName.

 

6. Cuando haya terminado, haga clic en Guardar.
7. Ahora debe aparecer un resumen del recurso de autoridad externa configurado:

 

8. En el menú Server->User Groups, edite los grupos de usuarios que contienen los derechos que desea delegar a grupos de AD/LDAP o usuarios. Por ejemplo, para otorgar derechos de administrador completos, el DN de grupo/usuario de AD se debe especificar en el campo Funciones externas de las funciones Administradores de aplicaciones y Administradores de seguridad.

Por ejemplo: CN=NetWorker_Admins,CN=Usuarios,DC=emclab,DC=local

9. Una vez que se hayan especificado el grupo de AD o los DN de usuario, haga clic en Guardar. 
10. Cierre sesión en la interfaz de NWUI y vuelva a iniciar sesión con la cuenta de AD:

11. El ícono de usuario en la esquina superior derecha indica en qué cuenta de usuario haya iniciado sesión.

Puede usar el comando authc_mgmt en el servidor de NetWorker para confirmar que los grupos/usuarios de AD/LDAP sean visibles:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Por ejemplo:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Recursos adicionales:

• NetWorker: Cómo configurar LDAP/AD mediante scripts de authc_config
• NetWorker: Cómo configurar la autenticación de AD/LDAP
• NetWorker: Cómo restablecer la contraseña del administrador