[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
openssl s_client -showcerts -connect LDAPS_SERVER:636
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) NetWorker 서버 서비스를 재시작합니다.
1. 웹 브라우저에서 NWUI 서버에 액세스합니다.
https://nwui-server-name:9090/nwui2. NetWorker Administrator 계정을 사용하여 로그인합니다.
3. 메뉴에서 Authentication Server를 확장하고 External Authorities를 클릭합니다.
4. 외부 기관에서 Add+를 클릭합니다.
5. 구성 필드를 입력합니다.
필드 | 값 |
이름 | LDAP 또는 AD 구성을 위한 공백이 없는 설명 이름입니다. 최대 문자 수는 256자입니다. 구성 이름에만 ASCII 문자를 지정합니다. |
서버 유형 | SSL을 통한 AD |
공급업체 서버 이름 | Active Directory Server의 호스트 이름 또는 IP 주소를 지정합니다. |
포트 | 포트 636은 SSL에 사용됩니다. "AD over SSL"이 선택된 경우 이 필드가 자동으로 채워집니다. |
테 넌 트 | 구성된 경우 테넌트를 선택합니다. 테넌트 구성 또는 필수 사항이 없는 경우 "default"를 사용할 수 있습니다. 테넌트 구성에는 "tenant_name\domain_name\user_name"라는 로그인 구문이 필요합니다. 기본 테넌트(일반)를 사용하는 경우 로그인 구문은 "domain_name\user_name"입니다. 테넌트 - NetWorker 인증 서비스를 위한 최상위 조직 컨테이너입니다. 로컬 데이터베이스의 각 외부 인증 기관이 테넌트에게 할당됩니다. 테넌트는 하나 이상의 도메인을 포함할 수 있지만 도메인 이름은 테넌트 내에서 고유해야 합니다. NetWorker Authentication Service는 기본 도메인을 포함하는 기본 제공 테넌트 이름 기본값을 생성합니다. 여러 테넌트 생성을 통해 복잡한 구성을 관리할 수 있습니다. 예를 들어 RDZ(DataZone)가 제한된 서비스 공급업체는 여러 테넌트 생성을 통해 테넌트 사용자에게 격리된 데이터 보호 서비스를 제공할 수 있습니다. |
Domain | 모든 DC 값을 포함한 전체 도메인 이름 예: example.com |
User DN | AD 디렉토리에 대한 전체 읽기 액세스 권한이 있는 사용자 계정의 전체 DN(Distinguished Name)을 지정합니다. |
User DN Password | AD Direct에 액세스하고 읽는 데 사용되는 사용자 계정의 암호를 지정합니다. |
그룹 객체 클래스 | 필수. LDAP 또는 AD 계층 구조의 그룹을 식별하는 오브젝트 클래스입니다. ● LDAP의 경우 groupOfUniqueNames 또는 groupOfNames를 사용합니다. ● AD의 경우 그룹을 사용합니다. |
그룹 검색 경로(선택 사항) | LDAP 또는 AD 계층 구조에서 그룹을 검색할 때 인증 서비스가 사용해야 하는 검색 경로를 지정하는 DN입니다. |
그룹 이름 속성 | 그룹 이름을 식별하는 속성입니다. 예: cn. |
그룹 구성원 특성 | 그룹 내 사용자의 그룹 구성원입니다. ● LDAP의 경우: 1 그룹 객체 클래스가 groupOfNames 인 경우 속성은 일반적으로 구성원입니다. 1 그룹 객체 클래스가 groupOfUniqueNames 인 경우 특성은 일반적으로 고유 메모리입니다. ● AD의 경우 값은 일반적으로 구성원입니다. |
사용자 객체 클래스 | LDAP 또는 AD 계층 구조에서 사용자를 식별하는 오브젝트 클래스입니다. 예를 들어 사람입니다. |
사용자 검색 경로(선택 사항) | 인증 서비스가 LDAP 또는 AD 계층 구조에서 사용자를 검색할 때 사용해야 하는 검색 경로를 지정하는 DN입니다. configserver-address 옵션에서 지정한 기본 DN과 상대적인 검색 경로를 지정합니다. 예를 들어 AD의 경우 cn=users를 지정합니다. |
사용자 ID 속성 | LDAP 또는 AD 계층 구조의 사용자 객체와 연결된 사용자 ID입니다. LDAP의 경우 이 속성은 일반적으로 uid입니다. AD의 경우 이 속성은 일반적으로 sAMAccountName입니다. |
8. Server->User Groups 메뉴에서 AD/LDAP 그룹 또는 사용자에게 위임할 권한이 포함된 사용자 그룹을 편집합니다. 예를 들어 전체 관리자 권한을 부여하려면 AD 그룹/사용자 DN을 애플리케이션 관리자 및 보안 관리자 역할의 외부 역할 필드에 지정해야 합니다.
예: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
9. AD 그룹 및/또는 사용자 DN이 지정되면 Save를 클릭합니다.
10. NWUI 인터페이스에서 로그아웃하고 AD 계정을 사용하여 다시 로그인합니다.
11. 오른쪽 상단 모서리에 있는 사용자 아이콘은 로그인한 사용자 계정을 나타냅니다.
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
예:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...