NetWorker: Як налаштувати "AD через SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Summary: У цій базі знань докладно описано процес, необхідний для настроювання "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI). Можливість налаштування зовнішніх репозиторіїв з NWUI була доступна в NetWorker 19.6.x і пізніших версіях. ...
This article applies to
This article does not apply to
Instructions
Для того, щоб налаштувати SSL-з'єднання для аутентифікації, кореневий ЦС (або ланцюжок ЦС при використанні) повинен бути імпортований у файл cacerts, який використовується процесом authc NetWorker.
3, b) Наведена вище команда виводить сертифікат CA або ланцюжок сертифікатів у форматі PEM, наприклад:
3, c) Скопіюйте сертифікат, починаючи з ---BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE--- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, ви повинні зробити це з кожним сертифікатом.
4) Імпортуйте сертифікат або сертифікати, створені в 3, c в сховище ключів довіри JAVA:
Linux: nsr_shutdown
служба networker запускає
Windows: Чиста зупинка NSRD Net Start NSRD
6. Коли закінчите , натисніть зберегти.
7. Тепер має з'явитися зведення настроєного зовнішнього авторитетного ресурсу:
Налаштування AUTHC на використання SSL
1) Відкрийте адміністративний / кореневий командний рядок у каталозі Java bin.- Якщо ви використовуєте середовище виконання NetWorker (NRE) для екземпляра Java сервера AUTHC, розташування:
- Linux: /opt/nre/java/latest/bin/
- Вікна: C:\Program Files\NRE\java\jrex. х. x_xxx\bin
- Якщо ви використовуєте Oracle Java, шлях до файлу може відрізнятися залежно від встановленого розташування та використовуваної версії Java.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
- Типовим паролем для storepass є changeit.
- На серверах Windows команда keytool буде виконуватися з каталогу Java bin, але матиме вигляд приблизно так:
- keytool -список -keystore .. \lib\security\cacerts -storepass changeit
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
- Замініть ALIAS_NAME псевдонімом сервера LDAPS, зібраним з виводу в 2, a.
openssl s_client -showcerts -connect LDAPS_SERVER:636
- За замовчуванням хости Windows не включають програму openssl. Якщо неможливо встановити OpenSSL на сервері NetWorker, сертифікати можна експортувати безпосередньо з сервера LDAPS; однак настійно рекомендується використовувати утиліту OpenSSL.
- Linux зазвичай поставляється з встановленим openssl, якщо у вас є сервер Linux у середовищі, ви можете використовувати openssl там для збору / створення файлів сертифікатів. Їх можна скопіювати та використовувати на сервері Windows authc.
- Якщо у вас немає OpenSSL, і його не можна інсталювати, попросіть адміністратора AD надати один або кілька сертифікатів, експортувавши їх у форматі x.509, закодованому Base-64.
- Замініть LDAPS_SERVER на ім'я хоста або IP-адресу вашого сервера LDAPS.
3, b) Наведена вище команда виводить сертифікат CA або ланцюжок сертифікатів у форматі PEM, наприклад:
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
ПРИМІТКА: Якщо є ланцюжок сертифікатів, останнім сертифікатом є сертифікат ЦС. Ви повинні імпортувати кожен сертифікат у ланцюжку в порядку (зверху вниз), закінчуючи сертифікатом ЦС.
3, c) Скопіюйте сертифікат, починаючи з ---BEGIN CERTIFICATE--- і закінчуючи ---END CERTIFICATE--- і вставте його в новий файл. Якщо є ланцюжок сертифікатів, ви повинні зробити це з кожним сертифікатом.
4) Імпортуйте сертифікат або сертифікати, створені в 3, c в сховище ключів довіри JAVA:
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
- Замініть ALIAS_NAME псевдонімом імпортованого сертифіката. Зазвичай це ім'я сервера LDAPS. Під час імпорту кількох сертифікатів для ланцюжка сертифікатів кожен сертифікат повинен мати інше ім'я ALIAS та імпортуватися окремо. Ланцюжок сертифікатів також потрібно імпортувати в порядку з кроку 3, a (зверху вниз).
- Замініть PATH_TO\CERT_FILE розташуванням файлу cert, створеного на кроці 3, c.
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner:
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...
Trust this certificate? [no]: yes
Certificate was added to keystore
ПРИМІТКА: Труба (|) Команда операційної системи grep або findstr до вищезазначеного, щоб звузити результат.
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry,
6) Перезапустіть служби сервера NetWorker.
Linux: nsr_shutdown
служба networker запускає
Windows: Чиста зупинка NSRD Net Start NSRD
ПРИМІТКА: Якщо серверні служби NetWorker не перезапущені, authc не прочитає файл cacerts і не виявить імпортовані сертифікати, необхідні для встановлення зв'язку SSL із сервером LDAP.
Створення ресурсу зовнішнього органу "AD over SSL" з NWUI
1. З веб-браузера відкрийте сервер NWUI:
https://nwui-server-name:9090/nwui2. Увійдіть за допомогою облікового запису адміністратора NetWorker.
3. У меню розгорніть пункт Сервер автентифікації (Authentication Server) і натисніть кнопку External Authority (Зовнішні органи).
4. Від зовнішніх органів натисніть кнопку Додати+.
5. Заповніть поля конфігурації:
| Поле | Цінність |
| Ім'я | Описове ім'я без пробілів для конфігурації LDAP або AD. Максимальна кількість символів – 256. Укажіть символи ASCII лише в імені конфігурації. |
| Тип сервера | AD через SSL |
| Ім'я сервера постачальника | Визначає ім'я хоста або IP-адресу сервера Active Directory |
| Порт | Порт 636 використовується для SSL, це поле має заповнюватися автоматично, якщо вибрано "AD over SSL". |
| Орендаря | Виберіть клієнта, якщо його настроєно. Якщо жоден клієнт не налаштований або не потрібен, можна скористатися функцією «за замовчуванням». Для налаштування клієнта потрібен наступний синтаксис входу "tenant_name\domain_name\user_name". Якщо використовується клієнт за замовчуванням (загальний), синтаксис входу – "domain_name\user_name". Клієнт — організаційний контейнер верхнього рівня для служби автентифікації NetWorker. Кожен зовнішній центр автентифікації в локальній базі даних призначається клієнту. Клієнт може містити один або кілька Доменів, але доменні імена мають бути унікальними в межах клієнта. Служба автентифікації NetWorker створює одне вбудоване ім'я клієнта Default, яке містить домен Default. Створення кількох клієнтів допомагає керувати складними конфігураціями. Наприклад, постачальники послуг із зонами обробки даних з обмеженим доступом (RDZ) можуть створювати кілька клієнтів, щоб надавати окремі послуги із захисту даних користувачам-клієнтам. |
| Домен | Повне доменне ім'я, включаючи всі значення DC; наприклад: example.com |
| Користувач DN | Визначає повне відмітне ім'я (DN) облікового запису користувача, який має повний доступ до читання каталогу AD. |
| Пароль DN користувача | Указує пароль облікового запису користувача, який використовується для доступу та читання AD Direct |
| Групувати клас об'єкта | Необхідний. Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD. ● Для LDAP використовуйте groupOfUniqueNames або groupOfNames. ● Для AD використовуйте групу. |
| Шлях пошуку групи (необов'язково) | DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку груп в ієрархії LDAP або AD. |
| Атрибут імені групи | Атрибут, який ідентифікує ім'я групи. Наприклад, кн. |
| Атрибут учасника групи | Групове членство користувача в групі. ● Для LDAP: ○ Коли класом Group Object є groupOfNames , атрибут зазвичай є членом. ○ Коли класом Group Object є groupOfUniqueNames , атрибут зазвичай є uniquemember. ● Для AD значення зазвичай є учасником. |
| Клас користувацького об'єкта | Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD. Наприклад, людина. |
| Шлях пошуку користувача (необов'язково) | DN, який визначає шлях пошуку, який служба автентифікації має використовувати під час пошуку користувачів в ієрархії LDAP або AD. Вкажіть шлях пошуку відносно базової DN, яку ви вказали в параметрі configserver-address. Наприклад, для AD вкажіть cn=users. |
| Атрибут ідентифікатора користувача | Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD. Для LDAP цей атрибут зазвичай використовується. Для AD цим атрибутом зазвичай є sAMAccountName. |
ПРИМІТКА: Проконсультуйтеся з адміністратором AD/LDAP, щоб дізнатися, які поля AD/LDAP потрібні для вашого середовища.
6. Коли закінчите , натисніть зберегти.
7. Тепер має з'явитися зведення настроєного зовнішнього авторитетного ресурсу:
8. У меню Групи користувачів > сервера Відредагуйте групи користувачів, що містять права, які ви хочете делегувати групам AD/LDAP або користувачам. Наприклад, щоб надати повні права адміністратора, DN групи AD / користувача слід вказати в полі Зовнішні ролі ролей адміністраторів програм і адміністраторів безпеки.
наприклад: CN=NetWorker_Admins,CN=Користувачі,DC=emclab,DC=локальний
9. Указавши групу оголошень та/або DN користувачів, натисніть кнопку Зберегти.
10. Вийдіть з інтерфейсу NWUI та увійдіть знову за допомогою облікового запису AD:
11. Піктограма користувача у верхньому правому куті вказує, у який обліковий запис користувача виконано вхід.
Additional Information
Ви можете скористатися командою authc_mgmt на сервері NetWorker, щоб переконатися, що групи або користувачі AD/LDAP відображаються:
Додаткові ресурси:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
наприклад:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМІТКА: У деяких системах команди authc можуть зазнати невдачі з помилкою "неправильний пароль", навіть якщо вказано правильний пароль. Це пов'язано з тим, що пароль вказується як видимий текст з опцією "-p". Якщо ви зіткнулися з цим, приберіть з команд "-p password". Вам буде запропоновано ввести пароль, прихований після запуску команди.
Додаткові ресурси: