NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)

W celu skonfigurowania połączenia SSL do uwierzytelniania należy zaimportować główny urząd certyfikacji (lub łańcuch urzędu certyfikacji w przypadku użycia) do pliku cacerts, który jest używany przez proces authc NetWorker.

Konfigurowanie AUTHC do korzystania z SSL

1) Otwórz wiersz polecenia administratora/głównego w katalogu Java bin.

• Jeśli używasz środowiska runtime Environment (NRE) NetWorker dla instancji Java serwera AUTHC, lokalizacja:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
• W przypadku korzystania z oprogramowania Oracle Java ścieżka pliku może się różnić w zależności od zainstalowanej lokalizacji i używanej wersji języka Java. 

2, a) Wyświetla listę bieżących zaufanych certyfikatów w magazynie zaufania.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Domyślne hasło do storepass to changeit.
• Na serwerach Windows polecenie keytool zostałoby uruchomione z katalogu Java bin, ale wygląda następująco:
  • keytool -list -keystore .. \lib\security\cacerts -storepass changeit

2, b) Przejrzyj listę aliasów odpowiadających serwerowi LDAPS (może to nie istnieć). Za pomocą polecenia grep lub findstr systemu operacyjnego można zawęzić zakres wyszukiwania za pomocą powyższego polecenia. Jeśli istnieje przestarzały lub istniejący certyfikat urzędu certyfikacji z serwera LDAPS, usuń go za pomocą następującego polecenia:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Zastąp ALIAS_NAME nazwą aliasu serwera LDAPS zebranego z danych wyjściowych w 2, a.

3, a) Użyj narzędzia OpenSSL, aby uzyskać kopię certyfikatu urzędu certyfikacji z serwera LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• Domyślnie hosty Windows nie zawierają programu Opensl. Jeśli nie można zainstalować openssl na serwerze NetWorker, certyfikaty można wyeksportować bezpośrednio z serwera LDAPS; zaleca się jednak korzystanie z narzędzia OpenSSL. 
• System Linux zazwyczaj jest dostarczany z zainstalowanym opensl. Jeśli w środowisku są serwery Linux, możesz użyć opensl w celu zebrania/utworzenia plików certyfikatu. Można je skopiować i wykorzystać na serwerze Windows Authc.
• Jeśli nie masz openssl i nie możesz go zainstalować, poproś administratora usługi AD o jeden lub więcej certyfikatów, wyeksportowując je jako kodowany format x.509 w wersji Base-64.
• Zamień LDAPS_SERVER na nazwę hosta lub adres IP serwera LDAPS.

3, b) Powyższe polecenie powoduje wyświetlenie certyfikatu urzędu certyfikacji lub łańcucha certyfikatów w formacie PEM, np.:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Skopiuj certyfikat, zaczynając od certyfikatu ---BEGIN--- kończąc na ---END CERTIFICATE--- i wklej go do nowego pliku. Jeśli istnieje łańcuch certyfikatów, należy to zrobić z każdym certyfikatem.

4) Zaimportuj certyfikat lub certyfikaty utworzone w 3, c do magazynu kluczy zaufania JAVA:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Zamień ALIAS_NAME aliasem importowanego certyfikatu. Zazwyczaj jest to nazwa serwera LDAPS. Podczas importowania wielu certyfikatów dla łańcucha certyfikatów każdy certyfikat musi mieć inną nazwę ALIAS i być importowany oddzielnie. Łańcuch certyfikatów musi być również zaimportowany w kolejności od kroku 3, a (od góry do do góry).
• Zamień PATH_TO\CERT_FILE na lokalizację pliku certyfikatu utworzonego w kroku 3 c.

Zostanie wyświetlony monit o zaimportowanie certyfikatu, wpisanie yes i naciśnięcie klawisza Enter.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Uruchom ponownie usługi serwera NetWorker. 
 
Linux: nsr_shutdown
service networker uruchomić
system Windows: net stop nsrd
net start nsrd
 

 

Tworzenie zasobu zewnętrznego podmiotu zarządzającego "AD over SSL" z NWUI

1. W przeglądarce internetowej uzyskaj dostęp do serwera NWUI:
https://nwui-server-name:9090/nwui2. Zaloguj się przy użyciu konta administratora NetWorker.
3. W menu rozwiń opcję Authentication Server (Serwer uwierzytelniania) i kliknij opcję External Authorities (Urzędy zewnętrzne).
4. W pozycję External Authorities (Urzędy zewnętrzne) kliknij przycisk Add+.
5. Wypełnij pola konfiguracji:

Konfiguracja podstawowa:

Field	Wartość
Nazwa	Nazwa opisowa bez spacji dla konfiguracji LDAP lub AD. Maksymalna liczba znaków to 256. Określ znaki ASCII tylko w nazwie konfiguracji.
Typ serwera	AD przez SSL
Nazwa serwera dostawcy	Określa nazwę hosta lub adres IP serwera Active Directory
Port	Port 636 jest używany w SSL. To pole powinno być wypełniane automatycznie, jeśli wybrano opcję "AD over SSL".
Dzierżawy	Wybierz dzierżawcę, jeśli został skonfigurowany. Jeśli żaden dzierżawca nie jest skonfigurowany lub wymagany, można użyć "ustawień domyślnych".  Konfiguracja dzierżawcy wymaga następującej składni logowania "tenant_name\domain_name\user_name". Jeśli używany jest domyślny dzierżawca (wspólny), składnia logowania to "domain_name\user_name".  Dzierżawa — kontener organizacyjny najwyższego poziomu dla usługi uwierzytelniania NetWorker. Każdy zewnętrzny urząd uwierzytelniający w lokalnej bazie danych jest przypisany do dzierżawcy. Dzierżawca może zawierać co najmniej jedną domenę, ale nazwy domen muszą być unikatowe w dzierżawie. Usługa uwierzytelniania NetWorker tworzy jedną wbudowaną nazwę dzierżawcy domyślną, która zawiera domenę domyślną. Utworzenie wielu dzierżawców ułatwia zarządzanie złożonymi konfiguracjami. Na przykład dostawcy usług z ograniczonymi strefami danych (RDZ) mogą utworzyć wielu dzierżawców w celu zapewnienia izolowanych usług ochrony danych użytkownikom dzierżawcy.
Domena	Pełna nazwa domeny, w tym wszystkie wartości kontrolera domeny; np. example.com
Nazwa domeny użytkownika	Określa pełną nazwę wyróżniającą (DN) konta użytkownika, który ma pełny dostęp do odczytu do katalogu AD.
Hasło DN użytkownika	Określa hasło konta użytkownika, które służy do uzyskiwania dostępu i odczytu bezpośrednio do AD

 

Zaawansowana konfiguracja:

Klasa obiektów grupy	Wymagane. Klasę obiektów identyfikującą grupy w hierarchii LDAP lub AD. ● W przypadku protokołu LDAP należy używać grupOfUniqueNames lub groupOfNames. ● W przypadku AD należy użyć grupy.
Ścieżka wyszukiwania grupy (opcjonalna)	Nazwa domeny określająca ścieżkę wyszukiwania używaną przez usługę uwierzytelniania podczas wyszukiwania grup w hierarchii LDAP lub AD.
Atrybut nazwy grupy	Atrybut identyfikujący nazwę grupy. Na przykład cn.
Atrybut członka grupy	Członkostwo w grupie użytkowników w grupie. ● W przypadku protokołu LDAP: ○ Gdy klasa obiektu grupy to groupOfNames , atrybut jest powszechnie elementem członkowskim. ○ Gdy klasa obiektu grupy to groupOfUniqueNames , atrybut jest zazwyczaj unikatowy. ● W przypadku AD wartość jest powszechnie członkiem.
Klasa obiektów użytkownika	Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD. Na przykład osoba.
Ścieżka wyszukiwania użytkownika (opcjonalna)	Nazwa domeny określająca ścieżkę wyszukiwania używaną przez usługę uwierzytelniania podczas wyszukiwania użytkowników w hierarchii LDAP lub AD. Określ ścieżkę wyszukiwania względem podstawowej nazwy DN określonej w opcji configserver-address. Na przykład w przypadku AD należy określić cn=users.
Atrybut identyfikatora użytkownika	Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD. W przypadku protokołu LDAP ten atrybut jest powszechnie uid. W przypadku AD ten atrybut jest zazwyczaj nazwą sAMAccountName.

 

6. Po zakończeniu kliknij przycisk Zapisz.
7. Powinno zostać wyświetlone podsumowanie skonfigurowanego zasobu zewnętrznego urzędu:

 

8. W menu Server->User Groups Edytuj grupy użytkowników, które zawierają prawa, które chcesz przekazać do grup lub użytkowników AD/LDAP. Na przykład, aby przyznać pełne uprawnienia administratora, nazwa DN grupy AD/użytkownika powinna zostać określona w polu Role zewnętrzne ról Administratorów aplikacji i Administratorów zabezpieczeń.

Np.: CN = NetWorker_Admins, CN = użytkownicy, DC = emclab, DC = local

9. Po określeniu grupy AD i/lub użytkowników kliknij przycisk Zapisz. 
10. Wyloguj się z interfejsu NWUI i zaloguj się ponownie przy użyciu konta AD:

11. Ikona użytkownika w prawym górnym rogu wskazuje, w którym koncie użytkownika jest zalogowane.

Za pomocą polecenia authc_mgmt na serwerze NetWorker można sprawdzić, czy grupy/użytkownicy AD/LDAP są widoczne:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Np.:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Dodatkowe zasoby:

• NetWorker: Konfigurowanie protokołu LDAP/AD przy użyciu skryptów authc_config
• NetWorker: Konfigurowanie uwierzytelniania AD/LDAP
• NetWorker: Resetowanie hasła administratora