5 1 0: Konfigurieren der LDAP/AD Authentifizierung
Übersicht
Bitte beachten, das die LDAP/AD Konfiguration SEP sesam versionsspezifisch ist. Achten Sie darauf, die korrekte Anleitung für Ihre spezifische Version zu verwenden.
SEP sesam ermöglicht die Konfiguration einer LDAP-Authentifizierung (Lightweight Directory Access Protocol) in Kombination mit der datenbankbasierten Authentifizierung. Auf diese Weise kann SEP sesam neben der eigenen Datenbank-Authentifizierung auch Benutzer anhand eines externen LDAP-Verzeichnisses (Active Directory, OpenLDAP, NetIQ eDirectory, etc.) authentifizieren. Es bietet die Integration von Benutzer- und Passwortverwaltung sowie SEP sesam Berechtigungen oder Zugriffsrechte, die je nach zugewiesenem Benutzertyp vergeben werden.
Ab V. 5.0.0 Jaglion ist es auch möglich, Benutzer mit einem signierten Zertifikat anstelle eines Benutzerpasswortes zu authentifizieren. Eine Schritt-für-Schritt-Anleitung finden Sie unter Konfigurieren der Zertifikats-basierten Authentifizierung.
- Beachten Sie, dass die Einrichtung von LDAP/AD mit SEP sesam fundierte Kenntnisse der LDAP-Verwaltung erfordert.
- Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD.
Generelle Funktionsweise
Wenn die LDAP-Authentifizierung aktiviert ist, läuft die Anmeldung an der SEP sesam GUI wie folgt:
- Ein Benutzer meldet sich bei SEP sesam an, indem er die entsprechenden Zugangsdaten (Benutzername und Passwort) eingibt.
- Nutzername und Paßwort werden gegen die interne SEP Sesam Datenbank geprüft.
- Dann wird Nutzername und Passwort gegen die erste Authentifizierungsquelle in der Liste geprüft. Wird keine Übereinstimmung gefunden, wird die zweite Quelle, dann die dritte Quelle usw. geprüft. Wurde die erste Übereinstimmung gefunden, wird das entsprechende Quellverzeichnis nach den Gruppen und der Gruppenmitgliedschaft abgefragt.
- Die vom Verzeichnis zurückgegebenen Gruppen werden mit den in der SEP Sesam Datenbank konfigurierten externen Gruppen verglichen. Ein Nutzer kann Mitglied mehrerer Gruppen sein. In diesem Fall wird der Nutzer mit den Rechten der Gruppe authentifiziert, die die höchsten Rechte hat.
- Der Zugriff auf SEP sesam wird verweigert, wenn der Benutzer nicht gefunden wird oder wenn ein Benutzer nicht Mitglied einer der konfigurierten externen Gruppen (Authorisierung) ist.
Anmerkung | |
|
Sie können SSL-Verbindungen zu Ihrem LDAP/AD-Server aktivieren, um LDAP für die Authentifizierung zu verschlüsseln, indem Sie das öffentliche Zertifikat der Zertifizierungsstelle (Root CA) in den Java-Schlüsselspeicher auf dem SEP sesam Server importieren, mit dem Ihr LDAP-Serverzertifikat signiert wurde. Details finden Sie unter Sichern der LDAP-Verbindung durch LDAPS.
Das Deaktivieren von LDAP/AD Quellen entfernt nicht die LDAP Einstellungen. Es wird nur die Integration der spezifischen Quelle deaktiviert. Die Abfrage der Quelle kann jederzeit wieder aktiviert werden, durch das Setzen des Haken in der Spalte Aktiv in der Konfiguration der Quellen.
Voraussetzungen
- Die LDAP oder AD Nutzerkonten, die für die Authentifizierung genutzt werden sollen, müssen im LDAP/AD Verzeichnis existieren und funktionieren. Der LDAP/AD Dienst (zum Bsp. Active Directory, OpenLDAP, NetIQ eDirectory, etc.) muss laufen.
- Die Authentifizierung im SEP Sesam muss generell aktiv sein. Relevante Parameter können in der sm.ini gesetzt werden, zum Beispiel
[UI] ……………. authEnabled=true auth.db.enabled=true auth.ldap.enabled=true auth.ldap.autocreate=true auth.ad.enabled=true auth.ad.autocreate=true …………….
und die Authentifizierung muss in der SEP Sesam GUI aktiviert werden, siehe dazu Konfigurieren der Datenbank-basierten Authentifizierung.
- Für die Authentifizierung gegen LDAP wird ein Nutzer im Verzeichnis benötigt, der das Recht hat, die Attribute von LDAP Gruppen zu lesen.
Anmerkung | |
Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD. |
Konfiguration der LDAP-Authentifizierung
Durch die Integration von LDAP und SEP Sesam Authentifizierung werden SEP Sesam interne Gruppen den externen Gruppen im LDAP/AD Verzeichnisbaum zugeordnet, so dass die Mitglieder der LDAP/AD Gruppen je nach Benutzertyp (Admin, Operator, Backup (v. ≥ 5.0.0 Jaglion) oder Restore, siehe auch Benutzerrollen und Berechtigungen) Zugriffsrechte für SEP sesam erhalten. Folglich authentifiziert SEP sesam Benutzer zusätzlich zu seiner eigenen Datenbank-Authentifizierung gegen das externe LDAP Verzeichnis.
Die Konfiguration der LDAP Authentifizierung ist ein zweistufiger Prozess:
- Beim LDAP Administrator erfragen, welche LDAP Attribute genutzt werden als Login Namen und als member Attribut in den LDAP Gruppen oder selbstständig die erforderlichen Informationen ermitteln.
- In der SEP Sesam GUI die LDAP Authentifizierungsquellen konfigurieren und die LDAP Gruppen zu den externen Gruppen hinzufügen.
OpenLDAP Konfiguration
Schritt 1: Ermitteln der LDAP Parameter und Werte
- Geben Sie im LDAP-Browser den DNS-Namen/IP-Adresse Ihres LDAP-Servers ein, z.B. sles11-nfs.jge.home.
- Erstellen Sie einen (Dienst-)Benutzer in Ihrem LDAP-Baum oder verwenden Sie einen vorhandenen Benutzer mit der Berechtigung Read auf das Member Attribut von Gruppen, um sicherzustellen, dass das angegebene Konto die Gruppenzugehörigkeit aller Nutzer im Verzeichnis lesen kann.
- Definieren Sie einen Container (LDAP-Baumebene), in dem sich Ihre Gruppen befinden. Zum Beispiel sind die Basis für Gruppen ou=group,dc=jge,dc=home.
- Geben Sie die Gruppennamen an. Sie können z.B. sepadmin, sepoperators und/oder seprestore verwenden.
- Identifizieren und notieren Sie alle LDAP-Container mit bestehenden Benutzern, die für die Verwendung von SEP sesam zugelassen werden sollen.
- Identifizieren und notieren Sie die eindeutige Kennung Ihrer Benutzer, z.B. ee, jge.
LDAP Zusammenfassung für das OpenLDAP-Beispiel
LDAP Server: sles11-nfs.jge.home LDAP-Benutzer mit Leserechte des Member-Attributs: cn=Administrator,dc=jge,dc=home LDAP Gruppen-Container/Basis: ou=group,dc=jge,dc=home LDAP Gruppe, die benutzt werden soll: sepadmin, sepoperators, seprestore LDAP Benutzercontainer/-basis: ou=people,dc=jge,dc=home Eindeutige LDAP Kennung: uid
Schritt 2: Konfiguration der LDAP Authentifizierung in derGUI
- Stellen Sie sicher, das die Datenbank basiert Authentifizierung aktiviert ist, so wie in Konfigurieren der Datenbank-basierten Authentifizierung beschrieben. Dann vom SEP sesam GUI Menü Konfiguration ‐> Berechtigungsverwaltung wählen.
- Wechseln Sie zur Registerkarte Quellen und klicken Sie auf die Schaltfläche + (plus), um eine Authentifizierungsquelle für den LDAP-Authentifizierungstyp hinzuzufügen.
- Wählen Sie im Fenster Authentifizierungskonfiguration als Quellentyp LDAP aus und geben Sie die Werte an, die Sie zuvor für OpenLDAP ermittelt haben:
- URL: Die LDAP URL des Servers für das Quellverzeichnis.
- Basis DN Benutzersuche: Stellen Sie das Muster ein, das verwendet wird, um einen Distinguished Name (DN = zutreffenden Namen) für den Benutzer zu liefern. Der Mustername sollte sich auf die Wurzel-DN beziehen. Der Platzhalter {0} enthält den Benutzernamen.
- Manager DN: Geben Sie den Distinguished Name (DN) des Dienst Nutzers an, der für die Anmeldung und Abfragen am Verzeichnisdienst verwendet wird.
- Passwort: Definieren Sie das Passwort, das für die Anmeldung am Verzeichnisdienst verwendet wird.
- Die Optionen Gruppenbasis und Gruppenfilter sind nur im UI Modus Fortgeschritten (früher UI Modus Experte) verfügbar. Wird sie nicht angezeigt, überprüfen Sie, ob Sie den UI-Modus Fortgeschritten ausgewählt haben, wie in Auswahl des UI-Modus beschrieben.
Sie können die SEP sesam Berechtigungskonfiguration auch ändern, indem Sie die URL auf
ldaps://<ldap server name>:636/
ändern. Einzelheiten dazu, wie Sie LDAP für die Authentifizierung sichern können, finden Sie unter Beispiel für die Authentifizierung durch LDAP mit eDirectory.Klicken Sie auf OK.
- Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Neu anlegen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR, BACKUP (v. ≥ 5.0.0 Jaglion) oder RESTORE.
Klicken Sie auf OK, um Ihre externen LDAP-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der LDAP-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist.
(Micro Focus) NetIQ eDirectory Konfiguration
Schritt 1: Ermitteln der LDAP Parameter und Werte
- Melden Sie sich als Administrator bei iManager an.
- Geben Sie den DNS-Namen/IP-Adresse Ihres eDirectory LDAP Servers ein, z.B. oes15-srv1.sep.de.
- Erstellen Sie einen (Dienst-)Benutzer in Ihrem eDirectory-Baum oder verwenden Sie einen vorhandenen Benutzer, der die Berechtigung zum Lesen der Attribute von Benutzergruppen hat.
- Definieren Sie den Container, in dem sich Ihre Gruppen befinden sollen.
- Geben Sie die Gruppennamen an. Sie können z.B. sepadmingroup, sepoperatorgroup, sepbackupgroup (v. ≥ 5.0.0 Jaglion), seprestoregroup verwenden.
- Identifizieren und notieren Sie alle LDAP-Container mit bestehenden Benutzern, die für die Verwendung von SEP sesam zugelassen werden sollten.
- Identifizieren und notieren Sie die eindeutige Kennung Ihrer Benutzer.
LDAP Zusammenfassung für das eDirectory Beispiel:
LDAP Server: oes15-srv1.sep.de LDAP-Benutzer mit Leserechte des Member-Attributs: cn=Admin,o=sep LDAP Gruppen-Container/Basis: ou=groups,o=sep LDAP Gruppe, die verwendet wird: sepadmingroup, sepoperatorgroup, seprestoregroup LDAP Benutzercontainer/-basis: ou=users,o=sep; ou=it,o=sep; ou=gurus,ou=it,o=sep Eindeutige LDAP Kennung: cn
Schritt 2: Konfiguration der LDAP Authentifizierung in der GUI
- Stellen Sie sicher, das die Datenbank basiert Authentifizierung aktiviert ist, so wie in Konfigurieren der Datenbank-basierten Authentifizierung beschrieben. Dann vom SEP sesam GUI Menü Konfiguration ‐> Berechtigungsverwaltung wählen.
- Wechseln Sie zur Registerkarte Quellen und klicken Sie auf die Schaltfläche + (plus), um die Authentifizierungsquelle für den LDAP-Authentifizierungstyp hinzuzufügen.
- Wählen Sie im Fenster Authentifizierungskonfiguration als Quellentyp LDAP aus und geben Sie die Werte an, die Sie zuvor für eDirectory ermittelt haben:
- URL: Die LDAP URL des Servers für das Quellverzeichnis.
- Basis DN Benutzersuche: Stellen Sie das Muster ein, das verwendet wird, um einen Distinguished Name (DN = zutreffenden Namen) für den Benutzer zu liefern. Der Mustername sollte sich auf die Wurzel-DN beziehen. Der Platzhalter {0} enthält den Benutzernamen.
- Manager DN: Geben Sie den Distinguished Name (DN) an, der für die Anmeldung am Verzeichnisdienst verwendet wird.
- Passwort: Definieren Sie das Passwort, das für die Anmeldung am Verzeichnisdienst verwendet wird.
- Die Optionen Gruppenbasis und Gruppenfilter sind nur im UI Modus Fortgeschritten (früher UI Modus Experte) verfügbar. Wird sie nicht angezeigt, überprüfen Sie, ob Sie den UI-Modus Fortgeschritten ausgewählt haben, wie in Auswahl des UI-Modus beschrieben.
Sie können die SEP sesam Berechtigungskonfiguration auch ändern, indem Sie die URL auf
ldaps://<ldap server name>:636/
ändern. Einzelheiten dazu, wie Sie LDAP für die Authentifizierung sichern können, finden Sie unter Beispiel für die Authentifizierung durch LDAP mit eDirectory.Klicken Sie auf OK.
Erzeugen Sie Authentifizierungsquellen für jeden LDAP Container, in dem sich (SEP Sesam) Nutzer befinden. In unserem Beispiel sind das 4 verschiedene LDAP Container (eDirectory Kontexte) mit Nutzern.
- Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Neu anlegen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR, BACKUP (v. ≥ 5.0.0 Jaglion) oder RESTORE.
Klicken Sie auf OK, um Ihre externen LDAP-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Wiederholen Sie diesen Schritt für jede externe Gruppe die einer internen SEP Sesam Gruppe zugeordnet werden soll. Es ist möglich eine beliebige Anzahl von Gruppenzuordnungen zu definieren. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der LDAP-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist.
Univention UCS OpenLDAP Konfiguration
Step 1: Ermitteln der LDAP Parameter und Werte
Nutzen Sie einen LDAP Browser und ermitteln Sie alle benötigten Werte. Univention UCS nutzt einen nicht-standard Port für die LDAP Kommunikation.
Im folgenden Beispiel ist das Attribute für die Mitglieder einer Gruppe uniqueMember.
LDAP Zusammenfassung für das UCS OpenLDAP Beispiel:
LDAP Server: majestix.sep.de LDAP Port: 7636 LDAP-Benutzer mit Leserechte des Member-Attributs: uid=ldapreader,cn=users,dc=sep,dc=de LDAP Gruppen-Container/Basis: cn=groups,dc=sep,dc=de LDAP Gruppe, die verwendet wird: grp-technik LDAP-Benutzercontainer(s)/Basis(en): ou=2_1_2_consulting,ou=2_1_it,ou=2_user,ou=hk,dc=sep,dc=de Eindeutige LDAP Kennung: uid LDAP Attribut für Gruppenmitglieder: uniqueMember
Schritt 2: Konfiguration der LDAP Authentifizierung in der GUI
Der Konfigurationsablauf ist der selbe wie für OpenLDAP oder eDirectory, siehe oben.
Im Beispiel ist die LDAP Verbindung zum Quellverzeichnis mit Secure LDAP gesichert, siehe Screenshot.
Konfigurieren der Active Directory (AD)-Authentifizierung
Anmerkung | |
Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD. |
Die Integration von Active Directory und SEP Sesam erlaubt die Nutzung von Nutzerinformationen vom Active Directory für die Authentifizierung an SEP Sesam. Nachdem alle Voraussetzungen erfüllt sind, ist die Konfiguration einfach. In einem ersten Schritt muss man die Active Directoty Container ermitteln in den sich die (SEP Sesam) Nutzer befinden und die zu verwendenden Active Directory Gruppennamen. Dann wird in der SEP Sesam GUI die AD Authentifizierung mit diesen Werten konfiguriert.
Die Nutzerabfrage durchsucht den AD Baum beginnend mit dem konfigurierten Startcontainer bis zum Ende der Verzeichniszweiges. Das bedeuted, das die Base DN auf der höchsten Ebene des AD Baumes definiert werden kann und der gesamte Verzeichnisbaum durchsucht wird. Das kann ein sehr zeitaufwändiger Prozess sein. Der erste Treffer des Anmeldenamens beendet den Suchvorgang (für diese definierte Quelle).
SEP sesam then authenticates users against both, its own database and the external AD directory.
Schritt 1: Ermitteln der Active Directory Parameter und Werte
- Erstellen Sie eine neue AD-Gruppe auf dem Domänencontroller oder verwenden Sie eine bestehende AD-Gruppe. In unserem Beispiel werden wir die AD-Gruppen mit den Namen SEPADMIN und SEPOPERATOR verwenden.
- Ermittel der Container in dem sich die gewünschten Nutzer befinden. In unserem Beispiel existieren alle Nutzer in OU=Users,OU=MyCompany,DC=ad16,DC=local und OU=Admin-Users,OU=MyCompany,DC=ad16,DC=local. Wir wollen die Suchbasis so setzen, das ausschließlich Nutzer aus diesen Containern Zugriff auf den SEP Seam bekommen können.
- Ermitteln der Domain Erweiterung des User logon name Attributes, welche für den Nutzer-Login verwendet wird. Die Erweiterung ist besonders in Multi-Domain-Umgebungen wichtig.
LDAP Zusammenfassung für das Active Directory Beispiel:
LDAP Server: ad16-1-dc.sep.de AD User Domain extension: ad16.local LDAP Gruppen-Container/Basis: cn=groups,dc=sep,dc=de LDAP Gruppe, die verwendet wird: grp-technik LDAP-Benutzercontainer(s)/Basis(en): ou=2_1_2_consulting,ou=2_1_it,ou=2_user,ou=hk,dc=sep,dc=de
Schritt 2: Konfiguration der AD Authentifizierung in der GUI
- Stellen Sie sicher, das die Datenbank basiert Authentifizierung aktiviert ist, so wie in Konfigurieren der Datenbank-basierten Authentifizierung beschrieben. Dann vom SEP sesam GUI Menü Konfiguration ‐> Berechtigungsverwaltung wählen.
- Wechseln Sie zur Registerkarte Quellen und klicken Sie auf die Schaltfläche + (plus), um die Authentifizierungsquelle hinzuzufügen. Wählen Sie im Fenster Authentifizierungskonfiguration als Quellentyp AD aus und geben Sie die Werte an, die Sie zuvor für Active Directory ermittelt haben:
- Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Neu erstellen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR, BACKUP (v. ≥ 5.0.0 Jaglion) oder RESTORE. Klicken Sie auf OK, um Ihre externen AD-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Wiederholen Sie diesen Schritt für jede externe Gruppe die einer internen SEP Sesam Gruppe zugeordnet werden soll. Es ist möglich eine beliebige Anzahl von Gruppenzuordnungen zu definieren. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der AD-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist.
Dann wiederholen Sie die Schritte für jede Active Directory Quelle die Sie definieren möchten. Im Beispiel sind 2 AD Quellen im SEP Sesam konfiguriert.
Managen der Authentifizierung
Die folgenden Hinweise sind hilfreich bei der Konfiguration und Verwaltung der AD/LDAP Authentifizierung in Verbindung mit SEP Sesam.
- Es ist möglich verschiedene Authentifizierungsquellen gleichzeitig zu nutzen.
- Die erste Authentifizierungsquelle ist IMMER die SEP Sesam interne Datenbank.
- Die Reihenfolge aller weiteren Authentifizierungsquellen wird durch ihre Reighenfolge i der SEP Sesam GUI bestimmt (Berechtigungsverwaltung -> Reiter Quellen).
- Die Reihenfolge der Quellen kann geändert werden, durch Markieren einer Quelle und drücken der hoch/runter Pfeile am unteren Rand des Fensters.
- Jede einzelne Quelle kann aktiviert/deaktiviert werden durch das Setzen/Entfernen des Hakens in der Spalte Aktiv.
- Jeder jemals angemeldete Benutzer ist sichtbar in der SEP Sesam GUI: Berechtigungsverwaltung -> Reiter Benutzer.
- AD und LDAP Nutzer sind ausgegraut und sie können nicht geändert werden. Die Anzeige ist rein informativ.
- AD/LDAP Nutzer können sich nicht ohne eine funktionierende AD/LDAP Verbindung anmelden, es sind keine Nutzerobjekte in der SEP Sesam Datenbank.
Absicherung der LDAP Verbindung durch LDAPS
SEP Sesam nutzt ein JAVA Framework für die Authentifizierung. SEP Sesam ist somit nur eine Nutzer der JAVA VM (virtual machine), Sie müssen sicherstellen, das JAVA eine sichere Verbindung aufbauen kann. Diese Einrichtung ist kein Teil der SEP Sesam Konfiguration. Aus diesem Grund sind die hier beschriebenen Schritte nur als Referenz zu verstehen und können sich jederzeit ändern. Lesen Sie die Dokumentation Ihres LDAP und PKI Anbieters für die aktuellsten Anleitungen und Details.
- Fragen Sie Ihren PKI/ROOT CA Administrator nach dem öffentlichen Zertifikat der Root CA, welche das Server Zertifikat Ihres LDAP Servers signiert hat.
- Importieren Sie das öffentliche Zertifikat in den JAVA KeyStore der JAVA VM, die durch den SEP Sesam Server verwendet wird. Dazu kann das Werkzeug keytool verwendet werden.
- Ändern Sie das Protokoll für die LDAP Quelle in der SEP Sesam GUI (Berechtigungsverwaltung -> Reiter Quellen) von LDAP auf LDAPS and passen Sie den LDAP Port an.
- Starten Sie den RMI-Service auf dem SEP Sesam Server mit dem folgenden Befehl neu:
sm_main restart rmi
Für detaillierte Information wie der öffentliche Schlüssel Ihrer Root CA exportiert wird, lesen Sie die Dokumentation Ihres Root CA Anbieters, zum Bsp. Microsoft Certificate Services, Micro Focus eDirectory CA, OpenLDAP, etc.
Für den Import des Zertifikates in den Java KeyStore nutzen Sie das Tool keytool (Teil jeder Java Installation). Eine andere Möglichkeit die Zertifikate unter Windows zu verwalten ist die Nutzung von Dritthersteller Tools, wie zum Beispiel KeyStore Explorer.
Beispiel für die Authentifizierung durch LDAP mit eDirectory
Mit SEP sesam ist es möglich, LDAP zur Authentifizierung zu verwenden, jedoch muss SEP sesam dem LDAP-Server-Zertifikat vertrauen. Sie müssen das öffentliche Zertifikat der Zertifizierungsstelle (CA) in den JAVA KeyStore importieren, mit dem Ihr LDAP-Server-Zertifikat signiert wurde. Beachten Sie, dass eDirectory mit selbstsignierten Zertifikaten (eDirectory Baum CA) arbeitet.
Das folgende Beispiel zeigt einen SEP sesam Linux Server (SLES). Um eine sichere LDAP Verbindung verwenden zu können, muss das eDirectory Root CA Zertifikat exportiert werden. Dann müssen Sie es in den Java KeyStore des SEP Sesam Servers importieren.
Anmerkung | |
Nachdem Sie das öffentliche Zertifikat exportiert und importiert haben, müssen Sie eventuell den SEP sesam Server neu starten, damit er wieder richtig funktioniert. |
Schritt 1: Exportieren eines öffentlichen Zertifikats der Root CA.
Beachten Sie, dass der iManager über das neueste Plugin für den Micro Focus Zertifikatsserver und den Zugriff verfügen muss, um ordnungsgemäß zu funktionieren.
- Starten und melden Sie sich bei iManager an.
- Wählen Sie eDirectory Administration -> Modify Object.
- Wählen Sie dann Modify object.
- Wählen Sie die Lupe, um zu dem Container zu gelangen, in dem sich das Objekt <Tree Name> CA befindet, und wählen Sie es aus. Klicken Sie auf OK.
- Wechseln Sie zum Certificates Reiter.
- Wählen Sie die Option Self Signed Certificate und klicken Validate.
- Wählen Sie erneut die Option Self Signed Certificate und klicken Export.
- Deselektieren Sie die Option Export private key und klicken Next.
- Wählen Sie dann Save the exported certificate. Beachten Sie, dass Sie entweder File in binary DER format oder File in Base64 format wählen können.
- Speichern Sie die Datei und geben Sie Ihrem Zertifikat einen aussagekräftigen oder beschreibenden Namen, der es eindeutig identifiziert, z.B. SelfSignCert.der.
- Klicken Sie Close und dann OK um Ihr öffentliches Zertifikat zu exportieren.
Nachdem das Zertifikat exportiert ist, kopieren Sie es auf den SEP sesam Server.
Schritt 2: Importieren eines öffentlichen Zertifikats in Java KeyStore
Wenn Sie Ihr Zertifikat in Java KeyStore importieren möchten, müssen Sie zunächst den KeyStore für Ihre Java-Version identifizieren. Verwenden Sie den Befehl (als root Benutzer):
find / -iname 'cacerts' /usr/java/jre1.8.0_144/lib/security/cacerts /usr/java/jre1.7.0_40/lib/security/cacerts
Wie im obigen Beispiel gezeigt, verwendet SEP sesam Java 1.8, so dass der entsprechende KeyStore für diese Version /usr/java/jre1.8.0_144/lib/security/cacerts ist.
Das folgende Beispiel zeigt, wie Sie ein öffentliches Zertifikat auf einem Linux Server importieren können. Nachdem das Zertifikat exportiert wurde, muss es auf dem Linux Server sichtbar sein. Kopieren Sie das exportierte Zertifikat auf den SEP Sesam Server.
Vorgehen:
- Öffnen Sie eine Terminal-Eingabeaufforderung und wechseln Sie zum Nutzer root (Hinweis Befehl: su).
- Geben Sie in der Terminal-Eingabeaufforderung keytool ein und drücken Sie Enter.
- Importieren Sie das öffentliche Zertifikat (z.B. SelfSignedCert.b64) mit einem folgenden Befehl in den Java CA KeyStore:
- Wenn Sie zur Eingabe eines Passworts aufgefordert werden, geben Sie changeit ein.
- Akzeptieren Sie den Zertifikatsimport, indem Sie mit yes antworten und die Terminal-Eingabeaufforderung schließen.
Hinweis | |
Dies sollte nur eine Liste von Befehlen und Optionen anzeigen, um zu überprüfen, ob sich die Keytool-Anwendung im path befindet. Wenn nicht, sollten Sie das Java-Verzeichnis bin der Pfad Variablen hinzufügen, um die Keytool-Anwendung zu starten. |
keytool -import -alias < ldap server dns name> -keystore <path to Java CA keystore> -file <certificate file>
Beispiel:
keytool -import -alias ldap.allnet.com -keystore /etc/alternatives/java_sdk/jre/lib/security/cacerts -file /home/admin/SelfSignedCert.b64
Anmerkung | |
Die Java CA KeyStore-Datei, die normalerweise cacerts genannt wird, finden Sie im Verzeichnis <java sdk/jdk>/jre/lib/security. Es ist möglich, dass bei einem Update des Java-Codes ein Cacert gesichert und durch eine neue Version ersetzt wird, die das manuell importierte Zertifikat noch nicht hat. In diesem Fall wird die LDAP-Authentifizierung auf dem SEP sesam Server eingestellt. |
Das Zertifikat wurde in den Keystore importiert und der SEP sesam Server kann SSL für seine LDAP-Authentifizierung verwenden.
Kommandobeispiele
- Sie können in der Keytool-Anwendung mit dem Befehl -list (keytool -list -keystore <Keystore Dateiname>) überprüfen, ob das Zertifikat korrekt importiert wurde.
/usr/java/jre1.8.0_144/bin/keytool -list -keystore /usr/java/jre1.8.0_144/lib/security/cacerts | grep oes15
Wenn Sie zur Eingabe eines Passworts aufgefordert werden, geben Sie changeit ein.
Ausgabebeispiel
Keystore-Kennwort eingeben: oes15tree, 07.05.2018, trustedCertEntry,
- Sie können den Zugriff auf den Keystore überprüfen.
/usr/java/jre1.8.0_144/bin/keytool -list -keystore /usr/java/jre1.8.0_144/lib/security/cacerts
Ausgabebeispiel
Keystore-Kennwort eingeben: Keystore-Typ: JKS Keystore-Provider: SUN Keystore enthält 105 Einträge verisignclass2g2ca [jdk], 25.08.2016, trustedCertEntry, Zertifikat-Fingerprint (SHA1): B3:EA:C4:47:76:C9:C8:1C:EA:F2:9D:95:B6:CC:A0:08:1B:67:EC:9D digicertassuredidg3 [jdk], 25.08.2016, trustedCertEntry, Zertifikat-Fingerprint (SHA1): F5:17:A2:4F:9A:48:C6:C9:F8:A2:00:26:9F:DC:0F:48:2C:AB:30:89 ….............
- Sie können das öffentliche CA-Zertifikat (exportiert aus eDirectory) aus /tmp/ importieren, ein Dateiname ist oes15tree_public_cert.der.
/usr/java/jre1.8.0_144/bin/keytool -import -alias oes15tree -keystore /usr/java/jre1.8.0_144/lib/security/cacerts -file /tmp/oes15tree_public_cert.der
Ausgabebeispiel
Keystore-Kennwort eingeben: Eigentümer: O=OES15TREE, OU=Organizational CA Aussteller: O=OES15TREE, OU=Organizational CA Seriennummer: 21c14e16e79e3e28b6e89a3fbda8091477857741cdbf48bc44d12f70a0a0202060dfa50 Gültig von: Tue Dec 01 11:12:27 CET 2015 bis: Sun Nov 30 11:12:27 CET 2025 Zertifikat-Fingerprints: MD5: 41:48:73:BD:1C:59:C3:C1:5E:00:6D:11:6B:F4:A2:C7 SHA1: 49:CB:2B:D5:2C:0B:11:2B:31:00:66:08:0E:CC:F4:D4:9F:61:3E:27 SHA256: 01:61:BA:80:A1:67:6D:C7:15:9C:01:E5:24:F6:5B:BB:20:90:64:6D:95:A8:56:B2:32:37:CA:23:EF:D5:E6:BB Signaturalgorithmusname: SHA1withRSA Version: 3 Erweiterungen: #1: ObjectId: 2.16.840.1.113719.1.9.4.1 Criticality=false 0000: 30 82 01 B7 04 02 01 00 01 01 FF 13 1D 4E 6F 76 0............Nov 0010: 65 6C 6C 20 53 65 63 75 72 69 74 79 20 41 74 74 ell Security Att 0020: 72 69 62 75 74 65 28 74 6D 29 16 43 68 74 74 70 ribute(tm).Chttp 0030: 3A 2F 2F 64 65 76 65 6C 6F 70 65 72 2E 6E 6F 76 ://developer.nov 0040: 65 6C 6C 2E 63 6F 6D 2F 72 65 70 6F 73 69 74 6F ell.com/reposito 0050: 72 79 2F 61 74 74 72 69 62 75 74 65 73 2F 63 65 ry/attributes/ce 0060: 72 74 61 74 74 72 73 5F 76 31 30 2E 68 74 6D 30 rtattrs_v10.htm0 0070: 82 01 48 A0 1A 01 01 00 30 08 30 06 02 01 01 02 ..H.....0.0..... 0080: 01 46 30 08 30 06 02 01 01 02 01 0A 02 01 69 A1 .F0.0.........i. 0090: 1A 01 01 00 30 08 30 06 02 01 01 02 01 00 30 08 ....0.0.......0. 00A0: 30 06 02 01 01 02 01 00 02 01 00 A2 06 02 01 18 0............... 00B0: 01 01 FF A3 82 01 04 A0 58 02 01 02 02 02 00 FF ........X....... 00C0: 02 01 00 03 0D 00 80 00 00 00 00 00 00 00 00 00 ................ 00D0: 00 00 03 09 00 80 00 00 00 00 00 00 00 30 18 30 .............0.0 00E0: 10 02 01 00 02 08 7F FF FF FF FF FF FF FF 01 01 ................ 00F0: 00 02 04 06 F0 DF 48 30 18 30 10 02 01 00 02 08 ......H0.0...... 0100: 7F FF FF FF FF FF FF FF 01 01 00 02 04 06 F0 DF ................ 0110: 48 A1 58 02 01 02 02 02 00 FF 02 01 00 03 0D 00 H.X............. 0120: 40 00 00 00 00 00 00 00 00 00 00 00 03 09 00 40 @..............@ 0130: 00 00 00 00 00 00 00 30 18 30 10 02 01 00 02 08 .......0.0...... 0140: 7F FF FF FF FF FF FF FF 01 01 00 02 04 14 E1 6E ...............n 0150: 79 30 18 30 10 02 01 00 02 08 7F FF FF FF FF FF y0.0............ 0160: FF FF 01 01 00 02 04 14 E1 6E 79 A2 4E 30 4C 02 .........ny.N0L. 0170: 01 02 02 02 00 FF 02 01 00 03 0D 00 80 FF FF FF ................ 0180: FF FF FF FF FF FF FF FF 03 09 00 80 FF FF FF FF ................ 0190: FF FF FF 30 12 30 10 02 01 00 02 08 7F FF FF FF ...0.0.......... 01A0: FF FF FF FF 01 01 FF 30 12 30 10 02 01 00 02 08 .......0.0...... 01B0: 7F FF FF FF FF FF FF FF 01 01 FF ........... #2: ObjectId: 2.5.29.35 Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: D3 91 1B 7E 38 C8 A1 05 62 61 22 03 8E 38 AD 12 ....8...ba"..8.. 0010: 6F 43 00 B6 oC.. ] ] #3: ObjectId: 2.5.29.19 Criticality=false CA:true PathLen:2147483647 ] #4: ObjectId: 2.5.29.15 Criticality=false KeyUsage [ Key_CertSign Crl_Sign ] #5: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: D3 91 1B 7E 38 C8 A1 05 62 61 22 03 8E 38 AD 12 ....8...ba"..8.. 0010: 6F 43 00 B6 oC.. ] ] Diesem Zertifikat vertrauen? [Nein]: Ja Zertifikat wurde Keystore hinzugefügt
Überprüfen, ob LDAP mit eDirectory richtig funktioniert
Wenn Sie Probleme mit der Authentifizierung haben, überprüfen Sie, ob LDAP mit eDirectory ordnungsgemäß funktioniert.
- Öffnen Sie den iManager und aktivieren Sie LDAP trace.
- Verwenden Sie auf der Shell oder iMonitor ndstrace und aktivieren Sie nur den LDAP-Trace.
- Melden Sie sich bei der SEP sesam GUI als Benutzer aus einer zugeordneten Gruppe mit dem richtigen eDirectory-Passwort an. In unserem Beispiel für eDirectory ist ein konfigurierter Benutzer sepadmin von ou=it,o=sep.
Ausgabebeispiel für ndstrace (erfolgreich)
New TLS connection 0x13ae5880 from 192.168.x.x:58610, monitor = 0xcc357700, index = 488 Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880 DoTLSHandshake on connection 0x13ae5880 BIO ctrl called with unknown cmd 7 Completed TLS handshake on connection 0x13ae5880 DoBind on connection 0x13ae5880 Bind name:cn=sepadmin,ou=users,o=sep, version:3, authentication:simple Failed to resolve full context on connection 0x13ae5880, err = no such entry (-601) Failed to authenticate full context on connection 0x13ae5880, err = no such entry (-601) Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x13ae5880 Monitor 0xcc357700 found connection 0x13ae5880 ending TLS session DoTLSShutdown on connection 0x13ae5880 Monitor 0xcc357700 found connection 0x13ae5880 socket closed, err = -5871, 0 of 0 bytes read Monitor 0xcc357700 initiating close for connection 0x13ae5880 Server closing connection 0x13ae5880, socket error = -5871 Connection 0x13ae5880 closed New TLS connection 0x13ae5880 from 192.168.x.x:58612, monitor = 0xcc357700, index = 488 Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880 DoTLSHandshake on connection 0x13ae5880 BIO ctrl called with unknown cmd 7 Completed TLS handshake on connection 0x13ae5880 DoBind on connection 0x13ae5880 Bind name:cn=sepadmin,ou=it,o=sep, version:3, authentication:simple Sending operation result 0:"":"" to connection 0x13ae5880 DoSearch on connection 0x13ae5880 Search request: base: "cn=sepadmin,ou=it,o=sep" scope:0 dereference:3 sizelimit:0 timelimit:0 attrsonly:0 filter: "(objectClass=*)" no attributes nds_back_search: Search Control OID 2.16.840.1.113730.3.4.2 Empty attribute list implies all user attributes Sending search result entry "cn=sepadmin,ou=it,o=sep" to connection 0x13ae5880 Sending operation result 0:"":"" to connection 0x13ae5880 DoUnbind on connection 0x13ae5880 Connection 0x13ae5880 closed New TLS connection 0x13ae5880 from 192.168.x.x:58613, monitor = 0xcc357700, index = 488 Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880 DoTLSHandshake on connection 0x13ae5880 BIO ctrl called with unknown cmd 7 Completed TLS handshake on connection 0x13ae5880 DoBind on connection 0x13ae5880 Bind name:cn=ldapuser,o=sep, version:3, authentication:simple Sending operation result 0:"":"" to connection 0x13ae5880 DoSearch on connection 0x13ae5880 Search request: base: "ou=groups,o=sep" scope:2 dereference:3 sizelimit:0 timelimit:0 attrsonly:0 filter: "(member=cn=sepadmin,ou=it,o=sep)" attribute: "cn" attribute: "objectClass" attribute: "javaSerializedData" attribute: "javaClassName" attribute: "javaFactory" attribute: "javaCodeBase" attribute: "javaReferenceAddress" attribute: "javaClassNames" attribute: "javaRemoteLocation" nds_back_search: Search Control OID 2.16.840.1.113730.3.4.2 Sending search result entry "cn=seprestoregroup,ou=groups,o=sep" to connection 0x13ae5880 Sending search result entry "cn=sepoperatorgroup,ou=groups,o=sep" to connection 0x13ae5880 Sending search result entry "cn=sepadmingroup,ou=groups,o=sep" to connection 0x13ae5880 Sending operation result 0:"":"" to connection 0x13ae5880 DoUnbind on connection 0x13ae5880 Connection 0x13ae5880 closed
Ausgabebeispiel für ndstrace (nicht erfolgreich, falsche Passwort)
New TLS connection 0x167e9180 from 192.168.1.11:59405, monitor = 0xcc357700, index = 485 Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180 DoTLSHandshake on connection 0x167e9180 BIO ctrl called with unknown cmd 7 Completed TLS handshake on connection 0x167e9180 DoBind on connection 0x167e9180 Bind name:cn=sepadmin,ou=users,o=sep, version:3, authentication:simple Failed to resolve full context on connection 0x167e9180, err = no such entry (-601) Failed to authenticate full context on connection 0x167e9180, err = no such entry (-601) Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180 Monitor 0xcc357700 found connection 0x167e9180 ending TLS session DoTLSShutdown on connection 0x167e9180 Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read Monitor 0xcc357700 initiating close for connection 0x167e9180 Server closing connection 0x167e9180, socket error = -5871 Connection 0x167e9180 closed New TLS connection 0x167e9180 from 192.168.1.11:59408, monitor = 0xcc357700, index = 485 Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180 DoTLSHandshake on connection 0x167e9180 BIO ctrl called with unknown cmd 7 Completed TLS handshake on connection 0x167e9180 DoBind on connection 0x167e9180 Bind name:cn=sepadmin,ou=it,o=sep, version:3, authentication:simple Failed to authenticate local on connection 0x167e9180, err = failed authentication (-669) Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180 Monitor 0xcc357700 found connection 0x167e9180 ending TLS session DoTLSShutdown on connection 0x167e9180 Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read Monitor 0xcc357700 initiating close for connection 0x167e9180 Server closing connection 0x167e9180, socket error = -5871 Connection 0x167e9180 closed New TLS connection 0x167e9180 from 192.168.1.11:59409, monitor = 0xcc357700, index = 485 Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180 DoTLSHandshake on connection 0x167e9180 BIO ctrl called with unknown cmd 7 Completed TLS handshake on connection 0x167e9180 DoBind on connection 0x167e9180 Bind name:cn=sepadmin,ou=gurus,ou=it,o=sep, version:3, authentication:simple Failed to resolve full context on connection 0x167e9180, err = no such entry (-601) Failed to authenticate full context on connection 0x167e9180, err = no such entry (-601) Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180 Monitor 0xcc357700 found connection 0x167e9180 ending TLS session DoTLSShutdown on connection 0x167e9180 Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read Monitor 0xcc357700 initiating close for connection 0x167e9180 Server closing connection 0x167e9180, socket error = -5871 Connection 0x167e9180 closed
Siehe auch
Über Authentifizierung und Autorisierung - Konfigurieren der Datenbank-basierten Authentifizierung - Konfigurieren der Zertifikat-basierten Authentifizierung - Benutzerrollen und Berechtigungen - Verwendung von Zugriffskontrolllisten