NetWorker:如何设置 AD/LDAP 验证

Zusammenfassung: 此知识库文章概述了如何使用 NetWorker Management Console (NMC) 的外部机构向导将外部机构添加到 NetWorker 中。Active Directory (AD) 或 Linux LDAP 身份验证可以与默认 NetWorker 管理员账户或其他本地 NMC 账户一起使用。

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

提醒:对于 AD over SSL 集成,应使用 NetWorker Web 用户界面来配置外部机构。请参阅 NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)

 

可以通过 NetWorker Management Console (NMC)、NetWorker Web 用户界面 (NWUI) 或 AUTHC 脚本创建和管理外部机构资源:

  • NetWorker 管理控制台 (NMC):使用 NetWorker 管理员账户登录 NMC。转至 Setup->Users and Roles->External Authorities
  • NetWorker Web 用户界面 (NMC):使用 NetWorker 管理员账户登录 NWUI。转至 Authentication Server->External Authorities
提醒:本知识库文章展示了如何使用 NMC 添加 AD/LDAP。有关使用 NWUI 的详细说明,请参阅:NetWorker:如何从 NetWorker Web 用户界面配置 AD 或 LDAP

前提条件:

外部身份验证(AD 或 LDAP)已集成到 NetWorker 身份验证 (AUTHC) 服务器的数据库中。它并不直接属于 NMC 或 NWUI 数据库的一部分。在具有单个 NetWorker 服务器的环境中,NetWorker 服务器是 AUTHC 主机。在具有多个 NetWorker 服务器(通过单个 NMC 进行管理)的环境中,只有一个 NetWorker 服务器是 AUTHC 服务器。对于本文后续步骤中所用的 authc_mgmt 命令,确定 AUTHC 主机是必要条件。AUTHC 服务器是在 NetWorker Management Console (NMC) 服务器的 gstd.conf 文件中标识的:

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows(默认值): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    提醒:gstd.conf 文件包含字符串 authsvc_hostname ,该字符串定义用于处理 NetWorker Management Console (NMC) 登录请求的身份验证服务器。

过程:

使用默认的 NetWorker 管理员账户登录 NetWorker Management Console (NMC)。在 Setup 选项卡-->User and Roles 下,有一个新的 External Authority 选项。

外部机构存储库的 NetWorker Management Console 设置窗口
 
  1. 要添加新的机构,请右键单击“External Authority”窗口,然后选择 New
  2. 在“External Authentication Authority”框中,您必须使用 AD/LDAP 信息填写必填字段。
  3. 选中“Show Advanced Options”框以查看所有字段。
Server Type 如果身份验证服务器是 Linux/UNIX LDAP 服务器,请选择 LDAP;如果使用 Microsoft Active Directory 服务器,请选择 Active Directory。
Authority Name 为此外部身份验证机构提供名称。您可以设置您想要的任何名称,它仅用于在配置多个机构时与其他机构区分。
Provider Server Name 此字段应包含 AD 或 LDAP 服务器的完全限定域名 (FQDN)。
Tenant 租户可在可能使用多种身份验证方法或必须配置多个机构的环境中使用。默认情况下,已选择“default”租户。使用租户会更改您的登录方法。使用默认租户的“域\用户”或其他租户的“租户\域\用户”登录 NMC。
Domain 指定您的完整域名(不包括主机名)。这通常是基本可分辨名称 (DN),由域的域名组成 (DC) 值组成。 
Port Number 对于 LDAP 和 AD 集成,请使用端口 389。对于 LDAP over SSL,请使用端口 636。这些端口是 AD/LDAP 服务器上的非 NetWorker 默认端口。
提醒:配置 SSL 时,不能只将端口更改为 636。必须将 CA 证书(和链,如果使用了链)从域服务器导入到 AUTHC 服务器。请参阅 NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)
User DN 指定对 LDAP 或 AD 目录具有完全读取访问权限的用户账户的可分辨名称 本超链接将引导您访问非 Dell Technologies 运营的网站。  (DN)。
指定用户账户的相对 DN;如果要覆盖 Domain 字段中设置的值,则指定完整 DN。
User DN Password 指定用户账户的密码。
Group Object Class 在 LDAP 或 AD 层次结构中标识组的对象类。
  • 对于 LDAP,请使用 groupOfUniqueNamesgroupOfNames 
    • 提醒:除了 groupOfUniqueNamesgroupOfNames。  使用在 LDAP 服务器中配置的任何对象类。
  • 对于 AD,请使用 group
Group Search Path 此字段可以留空,在这种情况下,AUTHC 将能够查询整个域。必须先授予 NMC/NetWorker 服务器访问权限,然后这些用户/组才能登录 NMC 并管理 NetWorker 服务器。指定域的相对路径,而不是完整 DN。
Group Name Attribute 标识组名称的属性;例如,cn
Group Member Attribute 指定组中用户的组成员身份。
  • 对于 LDAP:
    • 当组对象类为 groupOfNames通常情况下,属性为 member
    • 当组对象类为 groupOfUniqueNames通常情况下,属性为 uniquemember
  •  对于 AD,值通常为 member
用户对象类 在 LDAP 或 AD 层次结构中标识用户的对象类。
例如, inetOrgPersonuser
User Search Path 与 Group Search Path 一样,此字段可以留空,在这种情况下,AUTHC 能够查询整个域。指定域的相对路径,而不是完整 DN。
User ID Attribute 与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
  • 对于 LDAP,此属性通常为 uid
  • 对于 AD,此属性通常为 sAMAccountName
例如,Active Directory 集成:
关于如何将 Active Directory 身份验证添加到 NetWorker 中的示例
提醒:请咨询您的 AD/LDAP 管理员,以确认您的环境需要哪些 AD/LDAP 专用字段。
 
  1. 在填写所有字段后,单击 OK 以添加新的机构。
  2. 您可以在 NetWorker AUTHC 服务器上使用 authc_mgmt 命令确认 AD/LDAP 组/用户是否可见:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
例如: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
提醒:在一些系统上,即使提供了正确的密码,AUTHC 命令也可能会失败并显示“incorrect password”错误。这是因为使用了“-p”选项指定密码为可见文本。如果您遇到此问题,请从命令中删除“-p password”。运行命令后,系统将提示您输入隐藏的密码。
 
  1.  使用默认的 NetWorker 管理员账户登录 NMC 时,打开 Setup-->Users and Roles-->NMC Roles。打开“Console Application Administrators”角色的属性,然后在“external roles”字段中输入 AD/LDAP 组的可分辨名称 本超链接将引导您访问非 Dell Technologies 运营的网站。  (DN)(已在步骤 5 中收集)。对于需要默认 NetWorker 管理员权限的用户,请在“Console Security Administrators”角色中指定 AD/LDAP 组 DN。对于不需要 NMC 控制台管理权限的用户/组,请在“Console User”外部角色中添加其完整 DN。
提醒:默认情况下,已存在 NetWorker 服务器的本地管理员组的 DN,请勿将其删除。
  1. 对于 NMC 中配置的每个 NetWorker 服务器,还必须应用访问权限。这可通过以下两种方式之一完成:
选项 1)
从 NMC 连接到 NetWorker 服务器,打开 Server-->User Groups。打开“Application Administrators”角色的属性,然后在“external roles”字段中输入 AD/LDAP 组的可分辨名称 本超链接将引导您访问非 Dell Technologies 运营的网站。 (DN)(已在步骤 5 中收集)。对于需要与默认 NetWorker 管理员账户相同级别权限的用户,您必须在“Security Administrators”角色中指定 AD/LDAP 组 DN。

提醒:默认情况下,已存在 NetWorker 服务器的本地管理员组的 DN,请勿将其删除。
 
选项 2)
对于您要向其授予管理员权限的 AD 用户/组,可以通过管理员或从 NetWorker 服务器上的 root 命令提示符运行 nsraddadmin 命令: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
示例:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. 使用您的 AD/LDAP 账户(例如:domain\user)登录 NMC:
关于如何使用外部用户登录的示例
如果使用默认租户以外的租户,则您必须在域之前指定它,例如:tenant\domain\user。
所用账户显示在右上角。该用户可以根据 NetWorker 中分配的角色执行操作。
关于外部用户登录后如何显示的示例
  1. (可选)如果您希望 AD/LDAP 组能够管理外部机构,则必须在 NetWorker 服务器上执行以下操作。
    1. 打开管理/根命令提示符。
    2. 使用您要向其授予 FULL_CONTROL 权限的 AD 组 DN(已在步骤 5 中收集)来运行:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
例如 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Weitere Informationen

Betroffene Produkte

NetWorker

Produkte

NetWorker Family
Artikeleigenschaften
Artikelnummer: 000156107
Artikeltyp: How To
Zuletzt geändert: 16 Dez. 2025
Version:  10
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.