Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)

Summary: 本知識庫文章詳細說明從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS) 所需的程式。NetWorker 19.6.x 和更新版本提供從 NWUI 設定外部授權儲存庫的選項。

This article applies to   This article does not apply to 
Check out resources for

Instructions

為了設定用於驗證的 SSL 連線,根 CA (或使用時使用的 CA 鏈結) 必須匯入 NetWorker authc 程式所使用的 cacerts 檔案。

設定 AUTHC 以使用 SSL

1) 在 JAVA bin 目錄中開啟管理/根命令提示字元。
  • 如果您為 AUTHC 伺服器的 JAVA 實例使用 NetWorker Runtime Environment (NRE),位置是:
    • Linux:/opt/nre/java/latest/bin/
    • Windows:C:\Program Files\NRE\java\jrex.x.x_xxx\bin
  • 如果您使用的是 Oracle JAVA,檔案路徑可能會因已安裝的位置和所使用的 JAVA 版本而有所不同。 
2、a) 顯示信任存放區目前受信任憑證的清單。 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • storepass 的預設密碼為  變更
  • 在 Windows 伺服器上,Keytool 命令會從 JAVA bin 目錄執行,但看起來類似:
    • keytool -list -keystore ..\lib\security\cacerts -storepass changeit
2、b) 檢閱符合 LDAPS 伺服器之別名的清單 (此可能不存在)。您可以使用作業系統grepfindstr命令與上述命令來縮小搜尋範圍。如果您的 LDAPS 伺服器有過時的或現有的 CA 憑證,請使用下列命令加以刪除: 
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • 將ALIAS_NAME替換為從輸出 2 中收集的 LDAPS 伺服器別名,a.
3、a) 使用 OpenSSL 工具,從 LDAPS 伺服器取得 CA 憑證複本。 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • 根據預設,Windows 主機不包含 openssl 程式。如果無法在 NetWorker 伺服器上安裝 OpenSSL,則可直接從 LDAPS 伺服器匯出憑證;不過,強烈建議使用 OpenSSL 公用程式。 
  • Linux 通常隨附已安裝的 opensl,如果您的環境中有 Linux 伺服器,您可以使用 opensl 來收集/建立憑證檔案。這些可複製到 Windows authc 伺服器上並使用。
  • 如果您沒有 OpenSSL,且無法安裝,則您的 AD 管理員會將憑證匯出為Base-64 編碼 x.509 格式,以提供一或多個憑證。
  • 將LDAPS_SERVER更換為 LDAPS 伺服器的主機名稱或 IP 位址。

3、b) 上述命令會輸出 CA 憑證或 PEM 格式的憑證鏈結,例如: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
注意:如果憑證有鏈結,最後一個憑證即為 CA 憑證。您必須依照 CA 憑證結尾的順序 (由上往下) 匯入鏈結中的每個憑證。
 
3、c) 從---BEGIN 憑證開始複製憑證---結尾為---END 憑證---並貼至新檔案。如果憑證有鏈結,您必須在每個憑證上執行此操作。

4) 將 3 中建立的憑證或憑證匯入 JAVA 信賴起點存放區: 
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • 將ALIAS_NAME替換為匯入憑證的別名。通常這是 LDAPS 伺服器名稱。匯入憑證鏈結的多個憑證時,每個憑證必須有不同的 ALIAS 名稱,且必須個別匯入。憑證鏈結也必須從步驟 3、a (由上往下) 依序匯入。
  • PATH_TO\CERT_FILE替換為您在步驟 3 中建立的憑證檔案位置,c.
系統會提示您匯入憑證、輸入「yes」,然後按下 Enter 鍵。 
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
注意:管道 (|) 將作業系統grepfindstr命令移至上方,以縮小結果。  
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6)重新開機 NetWorker 伺服器服務。 
 
Linux:nsr_shutdown
Service Networker 啟動
Windows:net stop nsrd
net start nsrd
 
注意:如果 NetWorker 伺服器服務未重新開機,authc 將不會讀取 cacerts 檔案,也不會偵測到建立 SSL 與 LDAP 伺服器通訊所需的匯入憑證。

 

從 NWUI 建立「AD over SSL」外部授權資源

1.從網頁瀏覽器存取 NWUI 伺服器:
HTTPs://nwui-server-name:9090/nwui2.使用 NetWorker 系統管理員帳戶登入。
3.在功能表中展開驗證服務器,然後按一下「外部授權」
4.在外部機關中,按一下[Add+] (新增+)。
5.填入組態欄位:

基本組態:
欄位
名稱 描述名稱,不含 LDAP 或 AD 組態的空間。字元數上限為 256 個。僅在組態名稱中指定 ASCII 字元。
伺服器類型 AD over SSL
供應商伺服器名稱  指定 Active Directory 伺服器的主機名稱或 IP 位址
連接埠 埠 636 用於 SSL,如果選取「AD over SSL」,則此欄位應會自動填入。
租戶 若已設定,請選取租戶。如果沒有設定租使用者或需要,您可以使用「預設」。
設定租使用者需要下列登入語法「tenant_name\domain_name\user_name」。如果使用預設租使用者 (通用),則登入語法為「domain_name\user_name」。

租戶 — NetWorker 驗證服務的高層級組織容器。本機資料庫中的每個外部驗證授權單位都會指派給租戶。租戶可以包含一個或多個網域,但功能變數名稱必須在租使用者中是唯一的。NetWorker 驗證服務會建立一個內建租使用者名稱預設值,其中包含預設網域。建立多個租戶可協助您管理複雜的組態。例如,具有受限制資料區 (RDZ) 的服務供應商可建立多個租戶,為租戶使用者提供隔離的資料保護服務。
網域 完整功能變數名稱,包括所有 DC 值;例如:example.com
使用者 DN 指定具有 AD 目錄完整讀取存取權之使用者帳戶的完整辨別名稱 (DN)。
使用者 DN 密碼 指定用於存取和讀取 AD Direct 的使用者帳戶密碼
 
進階組態:
群組物件類別 必填。識別 LDAP 或 AD 階層中群組的物件類別。
● 若為 LDAP,請使用 群組OfUniqueNames
GroupOfNames。
● 針對 AD,請使用 群組
群組搜尋路徑 (選用) 指定驗證服務在 LDAP 或 AD 階層中搜尋群組時應使用的搜尋路徑的 DN。
組名屬性 識別組名的屬性。例如 cn。
群組成員屬性 使用者在
群組中的群組成員資格。
● LDAP:
6 當群組物件類別為 群組OfNames 時,屬性通常為成員。
6 當群組物件類別為 群組OfUniqueNames 時,屬性通常為唯一名稱。
● 對於 AD,此值通常是 成員
使用者物件類別 識別 LDAP 或 AD 階層中使用者的物件類別。例如, 個人
使用者搜尋路徑 (選用) 指定驗證服務在 LDAP 或 AD 階層中搜尋使用者時應使用的搜尋路徑的 DN。指定與您在 configserver-address 選項中指定的基本 DN 相對的搜尋路徑。例如,針對 AD,請指定 cn=users
使用者 ID 屬性 與 LDAP 或 AD 階層中的使用者物件相關聯的使用者 ID。
若為 LDAP,此屬性通常 為 uid
對於 AD,此屬性通常為 sAMAccountName

 

注意:請諮詢您的 AD/LDAP 管理員,確認您的環境需要哪一個 AD/LDAP 特定欄位。

6.完成後,按一下 「save」
7.現在應會顯示已設定外部授權資源的摘要:

 

NWUI 外部授權視窗中透過 SSL 資源設定的 AD 範例

8.在「Server->User Groups」功能表中,編輯包含您要委派給 AD/LDAP 群組或使用者許可權的使用者群組。例如,若要授予完整的系統管理員許可權,AD 群組/使用者 DN 應指定在應用程式系統管理員和安全管理員角色的「外部角色」欄位中。

例如:CN=NetWorker_Admins、CN=Users、DC=emclab、DC=local應用程式系統管理員

9.指定 AD 群組及/或使用者 DN 後,按一下「儲存」。
10.登出 NWUI 介面,然後使用 AD 帳戶重新登入:

NWUI AD 登入範例

11.右上角的使用者圖示會指出已登入哪個使用者帳戶。

Additional Information

您可以在 NetWorker 伺服器上使用 authc_mgmt 命令來確認 AD/LDAP 群組/使用者是否可見: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
例如:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
注意:在某些系統上,authc 命令可能會失敗,並出現「不正確的密碼」錯誤,即使您輸入的密碼正確亦不正確。這是因為密碼被指定為具有「-p」選項的可見文字。如果您遇到這種情況,請從命令中移除「-p 密碼」。執行命令後,系統會提示您輸入隱藏的密碼。


其他資源:

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series