Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker: Come configurare "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI)

Summary: Questo articolo della KB descrive in dettaglio il processo necessario per la configurazione di "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI). L'opzione per configurare i repository di autorità esterna da NWUI è stata resa disponibile in NetWorker 19.6.x e versioni successive. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

Per configurare una connessione SSL per l'autenticazione, è necessario importare la CA root (o la catena CA quando utilizzata) nel file cacerts utilizzato dal processo authc di NetWorker.

Configurazione di AUTHC per l'utilizzo di SSL

1) Aprire un prompt dei comandi amministrativo/root nella directory bin Java.
  • Se si utilizza NetWorker Runtime Environment (NRE) per l'istanza Java del server AUTHC, la posizione è:
    • Linux: /opt/nre/java/latest/bin/
    • Windows: C:\Programmi\NRE\java\jrex. x. x_xxx\bin
  • Se si utilizza Oracle Java, il percorso del file può variare a seconda della posizione installata e della versione java utilizzata. 
2, a) Visualizzare un elenco di certificati attendibili correnti nell'archivio attendibilità. 
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit
  • La password predefinita per lo storepass è changeit.
  • Sui server Windows, il comando keytool viene eseguito dalla directory bin Java, ma ha un aspetto simile al seguente:
    • keytool -list -keystore .. \lib\security\cacerts -storepass changeit
2, b) Esaminare l'elenco per un alias corrispondente al server LDAPS (potrebbe non esistere). È possibile utilizzare i comandi grep o findstr del sistema operativo con il comando precedente per restringere la ricerca. Se è presente un certificato CA obsoleto o esistente dal server LDAPS, eliminarlo con il seguente comando: 
keytool -delete -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit
  • Sostituire ALIAS_NAME con il nome alias del server LDAPS raccolto dall'output in 2, a.
3, a) Utilizzare lo strumento OpenSSL per ottenere una copia del certificato CA dal server LDAPS. 
openssl s_client -showcerts -connect LDAPS_SERVER:636
  • Per impostazione predefinita, gli host Windows non includono il programma opensl. Se non è possibile installare OpenSSL sul server NetWorker, i certificati possono essere esportati direttamente dal server LDAPS; Tuttavia, si consiglia vivamente di utilizzare l'utilità OpenSSL. 
  • Linux viene in genere fornito con openssl installato; se si dispone di server Linux nell'ambiente, è possibile utilizzare openssl per raccogliere/creare i file del certificato. Questi possono essere copiati e utilizzati sul server authc di Windows.
  • Se non si dispone di OpenSSL e non è possibile installarlo, l'amministratore AD fornirà uno o più certificati esportandoli come formato x.509 con codifica Base-64.
  • Sostituire LDAPS_SERVER con il nome host o l'indirizzo IP del server LDAPS.

3, b) Il comando precedente genera il certificato CA o una catena di certificati in formato PEM, ad esempio: 
-----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
NOTA: Se è presente una catena di certificati, l'ultimo certificato è il certificato CA. È necessario importare ogni certificato nella catena nell'ordine (dall'alto verso il basso) che termina con il certificato CA.
 
3, c) Copiare il certificato a partire da ---BEGIN CERTIFICATE--- e termina con ---END CERTIFICATE--- e incollarlo in un nuovo file. Se è presente una catena di certificati, è necessario eseguire questa operazione con ogni certificato.

4) Importare il certificato o i certificati creati in 3, c nel keystore dell'attendibilità JAVA: 
keytool -import -alias ALIAS_NAME -keystore ../lib/security/cacerts -storepass changeit -file PATH_TO\CERT_FILE
  • Sostituire ALIAS_NAME con un alias per il certificato importato. In genere si tratta del nome del server LDAPS. Quando si importano più certificati per una catena di certificati, ogni certificato deve avere un nome ALIAS diverso ed essere importato separatamente. La catena di certificati deve essere importata anche in ordine dal passaggio 3, a (dall'alto verso il basso).
  • Sostituire PATH_TO\CERT_FILE con il percorso del file di certificato creato nel passaggio 3, c.
Viene richiesto di importare il certificato, digitare yes e premere Invio. 
[root@networker-mc bin]# ./keytool -import -alias winsrvr2k16.emclab.local -keystore ../lib/security/cacerts -storepass changeit -file ~/ca.cer
Owner: 
Issuer: CN=emclab-WINSRVR2K16-CA, DC=emclab, DC=local
Serial number: 4900000004501b5e1c46b7c875000000000004
Valid from: Wed Feb 13 16:39:37 EST 2019 until: Sat Feb 13 16:49:37 EST 2024
Certificate fingerprints:
         SHA1: CD:C5:E0:7B:52:68:4D:85:2D:08:FC:73:49:2F:53:08:4B:CC:DE:03
         SHA256: 4B:B6:E9:B4:63:34:9B:55:52:A2:23:D1:57:5D:98:92:EB:B8:C3:31:CD:55:CD:53:B8:F0:D6:BB:64:A6:D6:61
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
NOTA: Eseguire il pipe (|) del comando grep o findstr del sistema operativo su quanto sopra per restringere il risultato.  
[root@networker-mc bin]# ./keytool -list -keystore ../lib/security/cacerts -storepass changeit | grep winsrvr2k16
winsrvr2k16.emclab.local, Sep 2, 2022, trustedCertEntry, 
6) Riavviare i servizi del server NetWorker
 
Linux: nsr_shutdown
service networker start
Windows: net stop nsrd
net start nsrd
 
NOTA: Se i servizi del server NetWorker non vengono riavviati, authc non leggerà il file cacerts e non rileverà i certificati importati necessari per stabilire la comunicazione SSL con il server LDAP.

 

Creazione di una risorsa dell'autorità esterna "AD over SSL" da NWUI

1. Da un web browser, accedere al server NWUI:
https://nwui-server-name:9090/nwui2. Accedere utilizzando l'account Amministratore NetWorker.
3. Dal menu , espandere Server autenticazione e fare clic su Autorità esterne.
4. Da Autorità esterne, fare clic su Aggiungi+.
5. Compilare i campi di configurazione:

Configurazione di base:
Campo Valore
Name Un nome descrittivo, senza spazi per la configurazione LDAP o AD. Il numero massimo di caratteri è 256. Specificare i caratteri ASCII solo nel nome di configurazione.
Tipo di server AD su SSL
Nome server provider  Specifica il nome host o l'indirizzo IP del server Active Directory
Porta La porta 636 viene utilizzata per SSL; questo campo dovrebbe essere popolato automaticamente se è selezionato "AD over SSL".
Inquilino Selezionare il tenant se configurato. Se non è configurato o richiesto alcun tenant, è possibile utilizzare il valore "predefinito". 
La configurazione di un tenant richiede la seguente sintassi di accesso "tenant_name\domain_name\user_name". Se viene utilizzato il tenant predefinito (comune), la sintassi di login è "domain_name\user_name". 

Tenant: contenitore organizzativo di primo livello per il servizio di autenticazione NetWorker. Ogni autorità di autenticazione esterna nel database locale viene assegnata a un tenant. Un tenant può contenere uno o più domini, ma i nomi di dominio devono essere univoci all'interno del tenant. Il servizio di autenticazione NetWorker crea un nome tenant predefinito Predefinito, che contiene il dominio predefinito. La creazione di più tenant consente di gestire configurazioni complesse. Ad esempio, i service provider con datazone con restrizioni (RDZ) possono creare più tenant per fornire servizi di protezione dei dati isolati agli utenti tenant.
Domain Il nome di dominio completo, inclusi tutti i valori dc; Ad es.: example.com
DN utente Specifica il nome distinto (DN) completo di un account utente con accesso completo in lettura alla directory AD.
Password DN utente Specifica la password dell'account utente utilizzato per accedere e leggere AD Direct
 
Configurazione avanzata:
Classe Group Object Obbligatorio. La classe di object che identifica i gruppi nella gerarchia LDAP o AD.
● Per LDAP, utilizzare groupOfUniqueNames o
groupOfNames.
● Per ACTIVE Directory, utilizzare il gruppo.
Percorso di ricerca gruppo (facoltativo) Un nome di dominio che specifica il percorso di ricerca che il servizio di autenticazione deve utilizzare per la ricerca di gruppi nella gerarchia LDAP o AD.
Attributo group name Attributo che identifica il nome del gruppo. Ad esempio, cn.
Attributo membro del gruppo Appartenenza a un gruppo dell'utente
all'interno di un gruppo.
● Per LDAP:
oo: quando group Object Class è groupOfNames , l'attributo è comunemente membro.
oo: quando la classe Group Object è groupOfUniqueNames , l'attributo è comunemente un membro univoco.
● Per AD, il valore è comunemente membro.
Classe User Object La classe di object che identifica gli utenti nella gerarchia LDAP o AD. Ad esempio, persona.
Percorso di ricerca utente (facoltativo) Il nome di dominio che specifica il percorso di ricerca che il servizio di autenticazione deve utilizzare per la ricerca di utenti nella gerarchia LDAP o AD. Specificare un percorso di ricerca relativo al DN di base specificato nell'opzione configserver-address. Ad esempio, per AD, specificare cn=users.
Attributo ID utente ID utente associato all'oggetto utente nella gerarchia LDAP o AD.
Per LDAP, questo attributo è comunemente uid.
Per AD, questo attributo è comunemente sAMAccountName.

 

NOTA: Contattare l'amministratore AD/LDAP per verificare quali campi AD/LDAP specifici sono necessari per l'ambiente in uso.

6. Al termine, fare clic su Salva.
7. Dovrebbe ora essere visualizzato un riepilogo della risorsa dell'autorità esterna configurata:

 

Esempio di risorsa AD configurata su SSL nella finestra NWUI External Authority

8. Dal menu Server-> Gruppi di utenti Modificare i gruppi di utenti che contengono i diritti che si desidera delegare a gruppi AD/LDAP o utenti. Ad esempio, per concedere diritti di amministratore completi, è necessario specificare il DN gruppo/utente AD nel campo Ruoli esterni degli amministratori dell'applicazione e dei ruoli amministratori di sicurezza.

Adesempio: CN=NetWorker_Admins,CN=Users,DC=emclab,DC=localAmministratori applicazioni

9. Una volta che il gruppo AD e/o i NOMI utente sono stati specificati, cliccare su Salva. 
10. Disconnettersi dall'interfaccia NWUI e accedere nuovamente utilizzando l'account AD:

Esempio di accesso AD NWUI

11. L'icona utente nell'angolo in alto a destra indica l'account utente che ha eseguito l'accesso.

Additional Information

È possibile utilizzare il comando authc_mgmt sul server NetWorker per verificare che i gruppi/utenti AD/LDAP siano visibili: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ldap_username
Adesempio:

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
 
NOTA: Su alcuni sistemi, i comandi authc potrebbero avere esito negativo con un errore di "password errata" anche quando viene fornita la password corretta. Ciò è dovuto alla password specificata come testo visibile con l'opzione "-p". In questo caso, rimuovere "-p password" dai comandi. Verrà richiesto di immettere la password nascosta dopo l'esecuzione del comando.


Risorse aggiuntive:

Affected Products

NetWorker

Product

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.
Article Properties
Article Number: 000203005
Article Type: How To
Last Modified: 20 Jun 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.