NetWorker: AD eller LDAP External Authentication Integration - Fejlfinding af problemer med login eller manglende oplysninger

Summary: Denne artikel omhandler problemer, der opstår som følge af forkert AD- eller LDAP-integration (Lightweight Directory Access Protocol) med NetWorker, og hvordan de løses.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Kunne ikke logge på NetWorker-brugergrænseflader.
  • nsrlogin Kommandoen mislykkes eller returnerer fejl.
  • NetWorker-godkendelse lykkedes, men brugergrænseflader præsenterer ikke data korrekt.
  • AD- eller LDAP-forespørgsler returnerer ingen resultater.
  • AD eller LDAP returnerer ufuldstændige svar.

Cause

Active Directory (AD) eller LDAP (Lightweight Directory Access Protocol) er virksomhedsimplementeringer af centralt administreret, driftsdistribueret netværksenhedsgodkendelse.

NetWorker kan bruge denne protokol til at godkende brugere og godkende handlinger, der erstatter den ældre metode, der er baseret på en softwarespecifik brugerkontodatabase.

Men forkerte eller manglende konfigurationsparametre i NetWorker medfører, at AD- eller LDAP-forespørgsler returnerer ufuldstændige resultater eller slet ingen.

Resolution

Når du foretager fejlfinding af AD- eller LDAP-integrationsproblemer med NetWorker, skal du bruge ikonet authc_config og authc_mgmt kommandoer på NetWorker-serveren.

Eksempler på disse kommandoer følger. Hvis du vil se alle tilgængelige indstillinger, skal du køre hver kommando uden yderligere argumenter.

Sådan finder og opdaterer du dine konfigurationsoplysninger.

Kør følgende kommandoer for at udskrive dine konfigurationsoplysninger ved hjælp af det brugernavn og den adgangskode, der passer til det opståede problem:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

BEMÆRK: På nogle systemer resulterer angivelse af adgangskoder som almindelig tekst i en forkert adgangskodefejl . Kør kommandoen igen uden -p password , beder om at indtaste adgangskoden. Udskift # i den tredje kommando med det config-id, der rapporteres af den første kommando.

Lejerværdien og -navnet bruges i nogle af følgende kommandoer.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Ovenstående eksempel viser konfigurationsindstillinger, der bruges i et arbejdslaboratoriemiljø med ekstern AD-godkendelse. Nogle af værdierne, såsom: serveradresse, konfigurationsbruger og bruger- eller gruppesøgningsstier, er specifikke for hvert miljø; De andre værdier er dog AD-standardattributter.
 
Hvis du vil rette forkerte værdier, skal du opdatere den eksterne autoritetsressource fra NetWorker Management Console (NMC) eller NetWorker-webbrugergrænsefladen (NWUI):
 
Scriptskabelonerne kan eventuelt bruges:
 
Windows: C:\Programmer\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Udfyld scriptene med dine oplysninger, og rediger -e add-config kommandoargument til -e update-config.
NetWorker: Sådan opsættes LDAP/AD ved hjælp af authc_config instrukser
 
BEMÆRK: Til AD skal du bruge authc-create-ad-config og til LDAP skal du bruge authc-create-ldap-config scriptskabelon. Når den er udfyldt, skal du fjerne .template fra filnavnet, og kør scriptet fra en administrativ kommandoprompt eller rodkommandoprompt.

Udgave 1: Forkert attribut for konfigurationsbruger-id

En forkert værdi i dette felt resulterer i en tom kolonne med brugernavn , når der forespørges efter AD- eller LDAP-brugere. Denne kolonne viser, hvordan brugernavnet er angivet til login. Kontoen rapporteres som ugyldig, hvis værdien ikke er angivet. For at hente disse værdier skal du køre:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
BEMÆRK: Kolonnen Brugernavn er tom. Det entydige bruger-id, derer knyttet til brugerobjektet i LDAP- eller AD-hierarkiet, er almindeligvis uid (LDAP) eller sAMAccountName (AD). Hvis du opdaterer denne værdi i konfigurationen, rettes det brugernavn, der rapporteres i kolonnen Brugernavn . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problem 2: Konfigurer brugerobjektklasse tom eller forkert.

En forkert værdi i dette felt medfører, at der ikke returneres nogen resultater, når der spørges på AD- eller LDAP-brugere. Brug disse kommandoer til at teste for dette symptom og årsag:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Attributten for objektklassen, der identificerer brugerne i mappehierarkiet,er almindeligvis inetOrgPerson (LDAP) eller bruger (AD). 

Opdater konfigurationen med disse værdier, og test for at sikre, at brugernavn og entydige navne (DN) rapporteres korrekt: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Forkert konfigurationsbrugersøgesti er en anden potentiel årsag til, at brugere mangler. Dette er et DN, der angiver den søgesti, som godkendelsestjenesten skal bruge, når der søges efter brugere i LDAP- eller AD-hierarkiet. Angiv en søgesti, der er relativ i forhold til det grundlæggende DN , der er angivet i indstillingen config-serveraddress . For AD skal du f.eks. angive cn=brugere. Bekræft med biblioteksadministratoren, at dette felt er korrekt.
 

Problem 3: Attributten Config Group Name ertom eller forkert.

En forkert værdi i dette felt resulterer i en tom kolonne Gruppenavn , når der forespørges efter AD- eller LDAP-grupper for en bruger. Følgende kommandoer kontrollerer symptom og årsag:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Den attribut, der identificerer gruppenavnet (f.eks. cn), mangler. Opdater konfigurationen med disse værdier, og sørg for, at gruppenavne nu vises i kolonnen Gruppenavn . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problem 4: Config Group Object Class er tom eller forkert

En forkert værdi i dette felt medfører, at der ikke returneres nogen resultater, når der forespørges AD- eller LDAP-grupper for en bruger. Brug disse kommandoer til at teste for symptom og årsag:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Den objektklasseattribut, der identificerer grupper i mappehierarkiet, er groupOfUniqueNames (LDAP) eller groupOfNames (AD). For AD skal du bruge gruppe
 
Opdater konfigurationen med disse værdier, du bør nu se gruppenavne og gruppe-DN'er på listen: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Andre potentielle årsager til, at grupper ikke vises, er:
  1. Den AD-bruger, der er angivet i mappen authc_mgmt kommandoen er ikke medlem af en AD-gruppe. Test andre brugernavne, og kontakt din AD-administrator for at bekræfte bruger- eller gruppemedlemskab.
  2. Værdien for konfigurationsgruppens søgesti er forkert. Dette er et DN, der angiver den søgesti, som godkendelsestjenesten skal bruge, når der søges efter grupper i kataloghierarkiet. Angiv en søgesti, der er relativ i forhold til det grundlæggende DN , som du angav i indstillingen config-server-address .

Additional Information

NetWorker: Vejledning til AD- og LDAP-integrering og konfiguration

Metoder, der beskriver, hvordan AD, LDAP, LDAPS konfigureres med NetWorker:

Du kan finde yderligere dokumentation i NetWorker-sikkerhedskonfigurationsvejledningen, som er tilgængelig via: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.