NetWorker:ADまたはLDAP外部認証の統合 - ログインまたは情報の欠落に関する問題のトラブルシューティング
Summary: この記事では、ADまたはLightweight Directory Access Protocol (LDAP)とNetWorkerとの統合が正しくないことによって発生する問題と、その解決方法について説明します。
Αυτό το άρθρο ισχύει για
Αυτό το άρθρο δεν ισχύει για
Αυτό το άρθρο δεν συνδέεται με κάποιο συγκεκριμένο προϊόν.
Δεν προσδιορίζονται όλες οι εκδόσεις προϊόντων σε αυτό το άρθρο.
Symptoms
- NetWorkerユーザー インターフェイスにログインできません。
nsrloginコマンドが失敗するか、エラーが返されます。- NetWorkerの認証は成功しますが、UIにデータが正しく表示されません。
- ADまたはLDAPクエリーは結果を返しません。
- ADまたはLDAPが不完全な応答を返す。
Cause
Active Directory (AD)またはLightweight Directory Access Protocol (LDAP)は、一元管理され、運用上分散されたネットワーク エンティティ認証のエンタープライズ実装です。
NetWorkerは、このプロトコルを使用してユーザーを認証し、操作を許可し、ソフトウェア固有のユーザー アカウント データベースに基づく古い方法を置き換えます。
ただし、NetWorkerの構成パラメーターが正しくないか欠落している場合、ADまたはLDAPクエリーは不完全な結果を返すか、まったく返しません。
Resolution
NetWorkerとのADまたはLDAP統合の問題をトラブルシューティングする場合は、 authc_config と authc_mgmt コマンドをNetWorkerサーバで実行します。
これらのコマンドの例を次に示します。使用可能なすべてのオプションを表示するには、各コマンドを追加の引数なしで実行します。
構成の詳細を確認および更新する方法。
発生した問題に対応するユーザー名とパスワードを使用して、次のコマンドを実行して構成の詳細を出力します。
authc_config -u Administrator -p 'password' -e find-all-configsauthc_config -u Administrator -p 'password' -e find-all-tenantsauthc_config -u Administrator -p 'password' -e find-config -D config-id=#
メモ: 一部のシステムでは、パスワードをプレーンテキストとして指定すると、 間違ったパスワード エラーになります。コマンドを
-p password 引数はパスワードの入力を求めます。3 番目のコマンドの # を、最初のコマンドで報告された config-id に置き換えます。
テナントの値と名前は、次のコマンドの一部で使用されます。
[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs Enter password: The query returns 1 records. Config Id Config Name 1 lab [root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants Enter password: The query returns 1 records. Tenant Id Tenant Name 1 default [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 Enter password: Config Id : 1 Config Tenant Id : 1 Config Name : lab Config Domain : lab Config Server Address : ldap://winldap.lab.loc:389/DC=lab,DC=loc Config User DN : CN=Administrator,CN=Users,DC=lab,DC=loc Config User Group Attribute : memberOf Config User ID Attribute : sAMAccountName Config User Object Class : user Config User Search Filter : Config User Search Path : CN=Users Config Group Member Attribute: member Config Group Name Attribute : cn Config Group Object Class : group Config Group Search Filter : Config Group Search Path : CN=NetWorker Admins Config Object Class : objectClass Is Active Directory : true Config Search Subtree : true
上記の例は、外部AD認証を使用する実習環境で使用される構成設定を示しています。サーバー アドレス、構成ユーザー、ユーザーまたはグループの検索パスなどの一部の値は、各環境に固有です。ただし、その他の値はデフォルトのAD属性です。
誤った値を修正するには、NMC(NetWorker管理コンソール)またはNWUI(NetWorker Webユーザー インターフェイス)から外部認証機関リソースを更新します。
必要に応じて、スクリプト テンプレートを使用できます。
Windowsの場合:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
Linux: /opt/nsr/authc-server/scripts/
スクリプトに情報を入力し、
NetWorker: authc_configスクリプトを使用してLDAP/ADをセットアップする方法
-e add-config command 引数を -e update-config.
NetWorker: authc_configスクリプトを使用してLDAP/ADをセットアップする方法
メモ: ADの場合は、
authc-create-ad-config LDAPの場合は、 authc-create-ldap-config スクリプト テンプレート。設定が完了したら、 .template をクリックし、管理者またはrootコマンド プロンプトからスクリプトを実行します。
問題1: 不正な構成ユーザーID属性
このフィールドの値が正しくないと、ADまたはLDAPユーザーのクエリー時に 、[User Name ]列が空になります。この列には、ユーザー名をログインに指定する方法が表示されます。値が指定されていない場合、アカウントは無効として報告されます。これらの値を取得するには、次のコマンドを実行します。
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute :
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
cn=Administrator,cn=Users,dc=lab,dc=loc
cn=Guest,cn=Users,dc=lab,dc=loc
cn=krbtgt,cn=Users,dc=lab,dc=loc
...
メモ: User Name列は空白です。LDAPまたはAD階層内のユーザー オブジェクトに関連づけられている一意のユーザーIDは、通常、uid(LDAP)またはsAMAccountName(AD)です。構成でこの値を更新すると、[ User Name ]列で報告されるユーザー名が修正されます。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute : sAMAccountName
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
2.ユーザー オブジェクト クラスの構成が空であるか、正しくありません。
このフィールドの値が正しくないと、ADまたはLDAPユーザーへのクエリー時に結果が返されません。次のコマンドを使用して、この現象と原因をテストします。
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_IDauthc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class :
ディレクトリー階層内のユーザーを識別するオブジェクト クラスの属性は、通常、inetOrgPerson(LDAP)またはuser(AD)です。
次の値を使用して構成を更新し、ユーザー名と識別名(DN)が正しく報告されていることを確認するためにテストします。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class : user
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
ユーザーが見つからないもう1つの潜在的な原因は、 誤った構成ユーザー検索パス です。これは、LDAPまたはAD階層でユーザーを検索するときに認証サービスが使用する検索パスを指定するDNです。config-serveraddressオプションで指定したベースDNに対する相対的な検索パスを指定します。たとえば、ADの場合は、cn=usersを指定します。このフィールドが正しいことをディレクトリ管理者に確認してください。
3.構成グループ名属性が空であるか、正しくありません。
このフィールドの値が正しくないと、ユーザーのADまたはLDAPグループをクエリーするときに 、[Group Name ]列が空になります。次のコマンドは、症状と原因をチェックします。
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
cn=NetWorker Admins,dc=lab,dc=loc
グループ名を識別する属性( cnなど)がありません。これらの値で構成を更新し、グループ 名 列のグループ名が表示されていることを確認します。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute : cn
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
4.構成グループ オブジェクト クラスが 空であるか、正しくありません
このフィールドの値が正しくないと、ユーザーのADまたはLDAPグループをクエリーしたときに結果が返されません。次のコマンドを使用して、症状と原因をテストします。
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name
Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
...
Config Group Object Class :
...
ディレクトリー階層内のグループを識別するオブジェクト クラス属性は、 groupOfUniqueNames (LDAP)または groupOfNames (AD)です。ADの場合は、groupを使用します。
次の値で設定を更新すると、グループ名とグループDNが一覧表示されます。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class : group
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
グループが表示されない場合のその他の潜在的な原因は次のとおりです。
- で指定されたADユーザー
authc_mgmtコマンドはADグループのメンバーではありません。他のユーザー名をテストし、AD管理者に確認して、ユーザーまたはグループのメンバーシップを確認します。 - Config Group Search Pathの値が正しくありません。これは、認証サービスがディレクトリ階層内のグループを検索するときに使用する検索パスを指定するDNです。config-server-addressオプションで指定したベースDNに対する相対的な検索パスを指定します。
Additional Information
NetWorker:ADおよびLDAPの統合と構成トリアージ ガイド
NetWorkerでAD、LDAP、LDAPSを構成する方法を詳しく説明します。
- NetWorker NWUI:NetWorker Webユーザー インターフェイスからAD/LDAPを設定する方法
- NetWorker NMC:NetWorker Management ConsoleからAD/LDAPを設定する方法
- NetWorker:authc_configスクリプトを使用してAD/LDAPを設定する方法
- NetWorker:LDAPS認証を設定する方法。
その他のドキュメントについては、https://www.dell.com/support/home/product-support/product/networker/docs から入手できる『NetWorkerセキュリティ構成ガイド』を参照してください。
Επηρεαζόμενα προϊόντα
NetWorkerΠροϊόντα
NetWorker, NetWorker Management ConsoleΙδιότητες άρθρου
Article Number: 000057044
Article Type: Solution
Τελευταία τροποποίηση: 12 Ιουν 2025
Version: 4
Βρείτε απαντήσεις στις ερωτήσεις σας από άλλους χρήστες της Dell
Υπηρεσίες υποστήριξης
Ελέγξτε αν η συσκευή σας καλύπτεται από τις Υπηρεσίες υποστήριξης.