NetWorker: Průvodce odstraňováním problémů s integrací a konfigurací AD a LDAP

Configuration

Následující články vám mohou pomoci s konfigurací služby AD nebo LDAP pomocí nástroje NetWorker.

NetWorker Web User Interface (NWUI): Jak nakonfigurovat AD/LDAP: NetWorker: Jak nakonfigurovat službu AD nebo LDAP z webového uživatelského rozhraní
NetWorkerJak nakonfigurovat AD/LDAP: NetWorker: Jak nastavit ověřování
AD/LDAPJak nakonfigurovat zabezpečenou službu AD/LDAP (LDAPS): NetWorker: Jak nakonfigurovat ověřování LDAPS
 

Informace, které je třeba vzít na vědomí:

1. Podrobný popis problému

• Chybová zpráva nebo snímek obrazovky s chybovou zprávou

2. Poznamenejte si server AUTHC používaný konzolí NetWorker Management Console (NMC).
   1. Na serveru NMC zkontrolujte následující soubor:

• • • Linux: /opt/lgtonmc/etc/gstd.conf
    • Windows (výchozí): C:\Program Files\EMC NetWorker\Management\etc\gstd.conf

1. 2. Potvrďte authsvc_hostname je správný název hostitele serveru AUTHC.

3. Podrobnosti o prostředí:

• Úplná verze serveru NetWorker, včetně čísla sestavení každého hostitele NetWorker (pokud se liší):
  • Server NetWorker.
  • AUTHC server (viz výše krok 2).
  • Server NetWorker Management Console (NMC). 
    • NetWorker: Způsoby identifikace verze softwaru NetWorker
• Verze operačního systému každého hostitele NetWorker (pokud se liší):
  • Server NetWorker.
  • AUTHC server (viz výše krok 2).
  • Server NetWorker Management Console (NMC). 
• Používaná adresářová služba: Active Directory nebo server LDAP?
• Používá se protokol LDAPS (AD nebo LDAP přes SSL)?

4. Získejte atributy a třídu objektu ze serveru Active Directory nebo LDAP.

• Rozlišující název (DN) účtu vazby
• Vyhledávací cesta uživatelů a skupin (DN)
• Atribut ID uživatele
• Třída objektu User
• Atribut názvu skupiny
• Třída objektu skupiny
• Atribut člena skupiny

Shromažďování informací

1. Pokud během počáteční konfigurace nebo aktualizace dochází k problému, ověřte, která z následujících metod se používá, a shromážděte výstup:

• Skript: K dispozici je skript šablony, který je k dispozici na serveru NetWorker se systémy Linux i Windows. Skript authc-create-ad-config* se používá, když je ověřujícím serverem služba Active Directory. authc-create-ldap-config* je určen pro server LDAP.
  • Linux: /opt/nsr/authc-server/scripts/ (authc-create-ad-config.sh.template a authc-create-ldap-config.sh.template)
  • Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ (authc-create-ad-config.bat a authc-create-ldap-config.bat)
• NMC nebo NWUI: Shromážděte snímek obrazovky s parametry konfigurace nastavenými v průvodci externí autoritou v konzoli NMC. Nezapomeňte rozbalit možnost "Zobrazit rozšířené možnosti". Pořiďte snímek obrazovky s pozorovanou chybovou zprávou. 

2. Pokud konfigurace AD/LDAP proběhla úspěšně, ale během přihlašování dochází k problému, spusťte na serveru NetWorker následující příkaz:

authc_config -u Administrator -e find-all-configs 
authc_config -u Administrator -e find-config -D config-id=config-id_from_above_command

• V čem jsou nastavena jména skupin nebo uživatelů AD/LDAP:
  • NMC: NMC –> Nastavení –> Uživatelé a role –> Role NMC:

• Server NetWorker: Server -> Skupiny uživatelů:

3. Dotazuje se NetWorker správně na skupiny a uživatele AD/LDAP:

authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username

4. Jste schopni ověřit uživatele AD/LDAP mimo NMC? Na serveru NetWorker spusťte:

nsrlogin -t tenant_name -d domain_name -u external_username

nsrlogout

Další zdroje

• Průvodce konfigurací zabezpečení platformy NetWorker: https://www.dell.com/support/product-details/product/networker/docs (pro fungování odkazu je nutné být přihlášen k webu podpory).
• NetWorker: Integrace externího ověřování AD nebo LDAP – Odstraňování problémů s přihlášením nebo chybějícími informacemi
• Služba Active Directory obsahuje nástroj nazvaný ADSI Edit, pomocí kterého se lze dotazovat na rozlišující název, atributy a třídy objektů, a také nástroje dsget a dsquery.
• Na serveru LDAP použijte příkaz ldapsearch nebo ekvivalentní nástroj.
• Microsoft: Získání členství ve skupině uživatelů AD pomocí PowerShellu: Get-ADPrincipalGroupMembership

• authc_config možnosti:

usage: authc_config
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given configuration property.
                                (e.g. -D config-domain=foo or --define
                                config-domain=foo)
                                Available property names:
                                tenant-id, tenant-name, tenant-alias,
                                tenant-details, config-id, config-tenant-id,
                                config-name, config-domain,
                                config-server-address, config-user-dn,
                                config-user-dn-password, config-user-group-attr,
                                config-user-id-attr, config-user-object-class,
                                config-user-search-filter,
                                config-user-search-path,
                                config-group-member-attr,
                                config-group-name-attr,
                                config-group-object-class,
                                config-group-search-filter,
                                config-group-search-path, config-object-class,
                                config-active-directory, config-search-subtree,
                                permission-id, permission-name,
                                permission-group-dn,
                                permission-group-dn-pattern, option-id,
                                option-name, option-value
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-tenants, find-tenant, add-tenant,
                                update-tenant, remove-tenant, find-all-configs,
                                find-config, add-config, update-config,
                                remove-config, find-all-permissions,
                                find-permission, add-permission,
                                update-permission, remove-permission,
                                find-all-options, find-option, add-option,
                                update-option, remove-option,
                                query-api-versions, query-cert-pem,
                                query-cert-pemtext, query-server-info
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.

• authc_mgmt možnosti:

usage: authc_mgmt
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given management property.
                                (e.g. -D user-name=foo or --define
                                user-name=foo)
                                Available property names:
                                user-id, user-name, user-domain, user-password,
                                user-first-name, user-last-name, user-email,
                                user-details, user-enabled, user-groups (csv
                                format), group-id, group-name, group-details,
                                group-users (csv format), query-tenant,
                                query-domain, password-new-value,
                                user-options-id, user-options-user-id,
                                user-options-password-must-change,
                                user-options-password-never-expires
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-users, find-user, add-user,
                                update-user, remove-user, update-password,
                                find-all-user-options, find-user-options,
                                update-user-options, find-all-groups,
                                find-group, add-group, update-group,
                                remove-group, query-ldap-users,
                                query-ldap-groups, query-ldap-users-for-group,
                                query-ldap-groups-for-user
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.