NetWorker. Настройка аутентификации AD/LDAP
Shrnutí: В этой статье базы знаний представлен обзор добавления внешних полномочий к NetWorker с помощью мастера netWorker Management Console (NMC). Аутентификацию Active Directory (AD) или Linux LDAP можно использовать вместе с учетной записью администратора NetWorker по умолчанию или другими локальными учетными записями NMC. ...
Tento článek se vztahuje na
Tento článek se nevztahuje na
Tento článek není vázán na žádný konkrétní produkt.
V tomto článku nejsou uvedeny všechny verze produktu.
Pokyny
ПРИМЕЧАНИЕ. Для интеграции AD over SSL следует использовать веб-интерфейс пользователя NetWorker для настройки внешних полномочий. См. Раздел NetWorker: Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI).
Войдите в консоль управления NetWorker Management Console (NMC) с учетной записью администратора NetWorker по умолчанию. На вкладке Setup (Настройка>) можно выбрать «User and Roles» (Пользователь и роли) и «External Authority» (Внешние полномочия).
Можно по-прежнему использовать команды authc_config и authc_mgmt для запроса конфигураций, пользователей и групп AD/LDAP. однако рекомендуется использовать NMC для добавления AD/LDAP в NetWorker.
1) Чтобы добавить новый полномочия,нажмите правой кнопкой мыши в окне Внешний орган и выберите Пункт Новый.
2) В поле External Authentication Authority (Внешний центр аутентификации) необходимо заполнить обязательные поля информацией об AD/LDAP.
3) Установите флажок «Показать дополнительные параметры», чтобы просмотреть все поля.
| Тип сервера | Выберите LDAP, если сервер аутентификации — это сервер LDAP Linux/UNIX или Active Directory, если используется сервер Microsoft Active Directory. |
| Имя полномочия | Укажите имя этого внешнего центра аутентификации. Это имя может быть любым, каким вы хотите быть. Следует только различать другие органы власти, когда настроено несколько экземпляров. |
| Имя сервера поставщика | Это поле должно содержать полное доменное имя (FQDN) сервера AD или LDAP. |
| Арендатор | Клиенты могут использоваться в средах, где можно использовать несколько методов аутентификации и/или когда необходимо настроить несколько центров. По умолчанию выбран клиент по умолчанию. Использование клиентов изменяет метод входа в систему. При использовании клиента по умолчанию можно войти в NMC с помощью «domain\user», если используется клиент, отличный от клиента по умолчанию, необходимо указать «tenant\domain\user» при входе в NMC. |
| Домен | Укажите полное имя домена (за исключением имени хоста). Как правило, это базовое доменное имя, которое состоит из значений компонента домена (DC) в вашем домене. |
| Номер порта | Для интеграции LDAP и AD используйте порт 389. Для LDAP over SSL используйте порт 636. Эти порты являются портами по умолчанию не NetWorker на сервере AD/LDAP. |
| Имя пользователя | Укажите различающееся имя учетной записи пользователя с полным доступом для чтения к каталогу LDAP или AD.При переопределите значение, заданное в поле Домен, укажите относительное доменное имя учетной записи пользователя или полное доменное имя. |
| Пароль DN пользователя | Укажите пароль указанной учетной записи пользователя. |
| Класс объекта группы | Класс объекта, который идентифицирует группы в иерархии LDAP или AD.
|
| Путь группового поиска | Это поле можно оставить пустым, в этом случае authc может запросить полный домен. Разрешения на доступ к серверу NMC/NetWorker должны быть предоставлены, прежде чем эти пользователи/группы смогут войти в NMC и управлять сервером NetWorker. Укажите относительный путь к домену, а не к полному домену. |
| Атрибут имени группы | Атрибут, который идентифицирует имя группы. Например, cn. |
| Атрибут члена группы | Членство пользователя в группе.
|
| Класс объекта пользователя | Класс объекта, который идентифицирует пользователей в иерархии LDAP или AD. Например, inetOrgPerson илипользователь |
| Путь к пользователю | Как и путь группового поиска, это поле может быть пустым, в этом случае authc может запросить полный домен. Укажите относительный путь к домену, а не к полному домену. |
| Атрибут идентификатора пользователя | Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD.
|
Например, интеграция Active Directory:
ПРИМЕЧАНИЕ. Обратитесь к администратору AD/LDAP, чтобы проверить, какие поля AD/LDAP необходимы для вашей среды.
4) После заполнения всех полей нажмите OK, чтобы добавить новый орган.
5) Можно использовать команду authc_mgmt на сервере NetWorker, чтобы убедиться, что группы/пользователи AD/LDAP отображаются:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Например,
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМЕЧАНИЕ. В некоторых системах команды authc могут не работать с ошибкой «неверный пароль», даже если задан правильный пароль. Это связано с тем, что пароль указывается как видимый текст с параметром «-p». Если вы столкнулись с этой ошибкой, удалите пароль «-p» из команд. После выполнения команды вам будет предложено ввести скрытый пароль.
имя (DN) группы AD/LDAP (собрано на шаге 5) в поле внешних ролей. Пользователям, которым требуются разрешения на тот же уровень, что и для учетной записи администратора NetWorker по умолчанию, также необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности консоли». Для пользователей /групп, которым не требуются права администратора в консоли NMC, добавьте полное доменное имя в «Console User» — внешние роли.
ПРИМЕЧАНИЕ. По умолчанию уже имеется доменное имя группы ЛОКАЛЬНЫХ администраторов сервера NetWorker. НЕ удаляйте это имя.
7) Разрешения на доступ также должны применяться для каждого сервера NetWorker, настроенного в NMC. Это можно сделать одним из двух способов:
вариант 1)
Подключите сервер NetWorker из NMC, откройте Server -->User Groups. Откройте свойства роли «Администраторы
приложений» и введите различающееся имя (DN) группы AD/LDAP (собрано на шаге 5) во внешнем поле ролей. Пользователям, которым требуются разрешения на тот же уровень, что и учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности».
приложений» и введите различающееся имя (DN) группы AD/LDAP (собрано на шаге 5) во внешнем поле ролей. Пользователям, которым требуются разрешения на тот же уровень, что и учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности».
ПРИМЕЧАНИЕ. По умолчанию уже имеется доменное имя группы ЛОКАЛЬНЫХ администраторов сервера NetWorker. НЕ удаляйте это имя.
Вариант 2)
Для пользователей/групп AD, которым необходимо предоставить права администратора для команды nsraddadmin, можно выполнить из командной строки администратора или root на сервере NetWorker:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" Пример:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) Войдите в NMC с помощью учетной записи AD/LDAP (например, domain\user):
Если использовался клиент, отличный от клиента по умолчанию, его необходимо указать перед доменом, например: tenant\domain\user.
Используемая учетная запись будет отображаться в правом верхнем углу. Пользователь может выполнять действия в соответствии с ролями, назначенными в NetWorker.
9) Если требуется, чтобы группа AD/LDAP смогла управлять внешними средами, необходимо выполнить следующие действия на сервере NetWorker.
9) Если требуется, чтобы группа AD/LDAP смогла управлять внешними средами, необходимо выполнить следующие действия на сервере NetWorker.
а) Откройте командную строку администратора/пользователя root.
б) Используя DN группы AD (собранное на шаге 5), вы хотите предоставить FULL_CONTROL на выполнение:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Например,
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Další informace
NetWorker NWUI: Настройка AD/LDAP из веб-интерфейса NetWorker
Networker: Настройка LDAP/AD с помощью authc_config сценариев
Networker: Настройка аутентификации LDAPS.
Networker: Настройка LDAP/AD с помощью authc_config сценариев
Networker: Настройка аутентификации LDAPS.
Dotčené produkty
NetWorkerProdukty
NetWorker, NetWorker Management ConsoleVlastnosti článku
Číslo článku: 000156107
Typ článku: How To
Poslední úprava: 14 Jan 2025
Verze: 9
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.