NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)

Aby bylo možné nakonfigurovat připojení SSL pro ověřování kořenové certifikační autority (nebo řetězce CA při použití), je nutné importovat do souboru cacerts, který používá proces authc společnosti NetWorker.

Konfigurace funkce AUTHC pro použití protokolu SSL

1) Otevřete příkazový řádek s oprávněními správce/uživatele root v adresáři bin Java.

• Pokud používáte prostředí NetWorker Runtime Environment (NRE) pro instanci Java serveru AUTHC, umístění je:
  • Linux: /opt/nre/java/latest/bin/
  • Windows: C:\Program Files\NRE\java\jrex. x. x_xxx\bin
• Pokud používáte software Oracle Java, cesta k souboru se může lišit v závislosti na nainstalovaném umístění a použité verzi jazyka Java. 

2, a) Zobrazí seznam aktuálních důvěryhodných certifikátů v úložišti trust.

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit

• Výchozí heslo pro storepass je changeit.
• Na serverech Se systémem Windows bude příkaz keytool spuštěn z adresáře Bin Java, ale bude vypadat nějak takto:
  • keytool -list -keystore .. \lib\security\cacerts -storepass changeit

2, b) Zkontrolujte seznam aliasu, který odpovídá vašemu serveru LDAPS (nemusí existovat). Pomocí výše uvedeného příkazu můžete pomocí příkazu grep nebo findstr operačního systému zúžit hledání. Pokud je ze serveru LDAPS zastaralý nebo stávající certifikát CA, odstraňte jej pomocí následujícího příkazu:

keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit

• Nahraďte ALIAS_NAME názvem aliasu serveru LDAPS shromážděným z výstupu ve 2, a.

3, a) Pomocí nástroje OpenSSL získejte kopii certifikátu CA ze serveru LDAPS.

openssl s_client -showcerts -connect LDAPS_SERVER:636

• Ve výchozím nastavení hostitelé se systémem Windows nezahrnují program openssl. Pokud není možné nainstalovat software OpenSSL na server NetWorker, lze certifikáty exportovat přímo ze serveru LDAPS. důrazně se však doporučuje použít nástroj OpenSSL. 
• Systém Linux se obvykle dodává s nainstalovaným nástrojem openssl. Pokud máte v prostředí server Linux, můžete pomocí nástroje openssl shromáždit/vytvořit soubory certifikátu. Ty lze zkopírovat na server Windows authc a použít je.
• Pokud nemáte software OpenSSL a nelze jej nainstalovat, poskytne správce služby AD jeden nebo více certifikátů exportováním jako formát base-64 kódovaný x.509.
• Nahraďte LDAPS_SERVER název hostitele nebo IP adresu serveru LDAPS.

3, b) Výše uvedený příkaz vytvoří výstup certifikátu CA nebo řetězce certifikátů ve formátu PEM, např.:

-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----

 
3, c) Zkopírujte certifikát počínaje ---BEGIN CERTIFICATE--- a zakončte ---END CERTIFICATE--- a vložte jej do nového souboru. Pokud existuje řetězec certifikátů, musíte to provést s každým certifikátem.

4) Importujte certifikát nebo certifikáty vytvořené ve 3, c do úložiště klíčů java Trust:

keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE

• Nahraďte ALIAS_NAME aliasem importovaného certifikátu. Obvykle se jedná o název serveru LDAPS. Při importu více certifikátů do řetězce certifikátů musí mít každý certifikát jiný název ALIAS a musí být importován samostatně. Řetěz certifikátů je také nutné importovat v pořadí od kroku 3 a (shora dolů).
• Nahraďte PATH_TO\CERT_FILE umístěním souboru cert, který jste vytvořili v kroku 3, c.

Zobrazí se výzva k importu certifikátu, zadejte yes a stiskněte klávesu Enter.

[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore

[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 

6) Restartujte serverové služby NetWorker. 
 
Linux: Spuštění systému Windows pomocí služby nsr_shutdown
Networker
: Net Stop nsrd
net start nsrd
 

 

Vytvoření zdroje externí autority "AD over SSL" z NWUI

1. Ve webovém prohlížeči přejděte k serveru NWUI:
https://nwui-server-name:9090/nwui2. Přihlaste se pomocí účtu NetWorker Administrator.
3. V nabídce rozbalte položku Ověřovací server a klikněte na možnost Externí autority.
4. V okně External Authorities klikněte na tlačítko Add+.
5. Vyplňte pole konfigurace:

Základní konfigurace:

Pole	Hodnota
Název	Popisný název bez mezer pro konfiguraci LDAP nebo AD. Maximální počet znaků je 256. Zadejte znaky tabulky ASCII pouze v názvu konfigurace.
Typ serveru	Služba AD přes SSL
Název serveru poskytovatele	Určuje název hostitele nebo IP adresu serveru Active Directory.
Port	Port 636 se používá pro protokol SSL. Toto pole by se mělo vyplnit automaticky, pokud je zvolena možnost "AD over SSL".
Nájemce	Vyberte klienta, pokud je nakonfigurován. Pokud není konfigurovaný nebo požadovaný žádný nájemce, můžete použít "výchozí".  Konfigurace nájemce vyžaduje následující syntaxi přihlášení "tenant_name\domain_name\user_name". Pokud je použit výchozí nájemce (společný), pak je syntaxe přihlášení "domain_name\user_name".  Tenant – organizační kontejner nejvyšší úrovně pro službu ověřování NetWorker. Každá externí ověřovací autorita v místní databázi je přiřazena nájemci. Klient může obsahovat jednu nebo více domén, ale názvy domén musí být v klientovi jedinečné. Služba NetWorker Authentication vytvoří jeden výchozí název nájemce Default, který obsahuje výchozí doménu. Vytvoření více nájemců vám pomůže se správou složitých konfigurací. Poskytovatelé služeb s omezenými datovými zónami (RDZ) mohou například vytvořit více klientů a poskytovat izolované služby ochrany dat uživatelům nájemce.
Doména	celý název domény včetně všech hodnot řadiče domény; např.: example.com
Dn uživatele	Určuje celý rozlišující název (DN) uživatelského účtu, který má plný přístup pro čtení k adresáři AD.
Uživatelské heslo DN	Určuje heslo uživatelského účtu, které se používá k přístupu a čtení služby AD direct.

 

Pokročilá konfigurace:

Třída objektu skupiny	Požadované. Třída objektu, která identifikuje skupiny v hierarchii LDAP nebo AD. ● U protokolu LDAP použijte příkaz groupOfUnjmenNames nebo groupOfNames. ● Ve službě AD použijte skupinu.
Cesta hledání skupiny (volitelná)	Dn, který určuje cestu vyhledávání, kterou by měla ověřovací služba použít při vyhledávání skupin v hierarchii LDAP nebo AD.
Atribut Group Name	Atribut, který identifikuje název skupiny. Například cn.
Atribut člena skupiny	Členství ve skupině uživatele ve skupině. ● U protokolu LDAP: 2 Když je třída objektu skupiny groupOfNames , je atribut běžně členem. aspx Když je třída objektu skupiny groupOfUnnnNames , atribut je běžně jedinečný. ● V případě ad je hodnota běžně členem.
Uživatelská třída objektu	Třída objektu, která identifikuje uživatele v hierarchii LDAP nebo AD. Například osoba.
Cesta k vyhledávání uživatele (volitelná)	DN, který určuje cestu vyhledávání, kterou by měla ověřovací služba použít při vyhledávání uživatelů v hierarchii LDAP nebo AD. Zadejte cestu vyhledávání vzhledem k základnímu DN, který jste zadali v možnosti configserver-address. Například pro službu AD specifikujte cn=users.
Atribut User ID	ID uživatele, které je spojeno s objektem uživatele v hierarchii LDAP nebo AD. U protokolu LDAP se tento atribut běžně používá jako uid. Pro službu AD je tento atribut běžně sAMAccountName.

 

6. Po dokončení klikněte na tlačítko Uložit.
7. Měl by se zobrazit souhrn nakonfigurovaného zdroje externí autority:

 

8. V nabídce Server->User Groups upravte skupiny uživatelů, které obsahují práva, která chcete delegovat do skupin AD/LDAP nebo uživatelů. Chcete-li například udělit úplná oprávnění správce, je třeba zadat název DN skupiny/uživatele AD v poli External Roles v rolích Application Administrators a Security Administrators.

Např.: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local

9. Po zadání skupiny AD nebo uživatelských sítí DNs klikněte na tlačítko Uložit. 
10. Odhlaste se z rozhraní NWUI a přihlaste se zpět pomocí účtu AD:

11. Ikona uživatele v pravém horním rohu označuje, ke kterému uživatelskému účtu jste přihlášeni.

Pomocí příkazu authc_mgmt na serveru NetWorker můžete ověřit, zda jsou viditelné skupiny/uživatelé AD/LDAP:

authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username

Např.:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Další zdroje:

• NetWorker: Jak nastavit protokol LDAP/AD pomocí skriptů authc_config
• NetWorker: Jak nastavit ověřování AD/LDAP
• NetWorker: Jak resetovat heslo správce