NetWorker:AD 或 LDAP 外部認證整合 - 故障診斷登入或遺失資訊的問題
Summary: 本文討論與 NetWorker 整合不正確的 AD 或輕量型目錄存取通訊協定 (LDAP) 所引起的問題,以及如何解決這些問題。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- 無法登入 NetWorker 使用者介面。
nsrlogin命令失敗或傳回錯誤。- NetWorker 驗證成功,但 UI 未正確顯示資料。
- AD 或 LDAP 查詢沒有傳回任何結果。
- AD 或 LDAP 傳回不完整的回應。
Cause
Active Directory (AD) 或輕量級目錄訪問協定 (LDAP) 是集中管理、操作分散式網路實體身份驗證的企業實現。
NetWorker 可以使用此通訊協定來驗證使用者並授權作業,取代基於軟體特定使用者帳戶資料庫的舊方法。
但是,NetWorker 中的組態參數不正確或遺失,會導致 AD 或 LDAP 查詢傳回不完整的結果,或根本沒有傳回任何結果。
Resolution
針對 NetWorker 的 AD 或 LDAP 整合問題進行故障診斷時,請使用 authc_config 和 authc_mgmt 命令。
這些命令的示例如下。若要查看所有可用選項,請執行每個命令,且不帶其他引數。
如何尋找與更新您的組態詳細資料。
使用與所遇到問題相對應的使用者名稱和密碼,執行下列命令以輸出您的組態詳細資料:
authc_config -u Administrator -p 'password' -e find-all-configsauthc_config -u Administrator -p 'password' -e find-all-tenantsauthc_config -u Administrator -p 'password' -e find-config -D config-id=#
注意:在某些系統上,將密碼指定為純文字會導致 不正確的密碼 錯誤。重新執行命令,不使用
-p password 參數提示輸入密碼。將第三個命令中的 # 替換為第一個命令報告的 config-id 。
租戶值和名稱用於以下某些命令。
[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs Enter password: The query returns 1 records. Config Id Config Name 1 lab [root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants Enter password: The query returns 1 records. Tenant Id Tenant Name 1 default [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 Enter password: Config Id : 1 Config Tenant Id : 1 Config Name : lab Config Domain : lab Config Server Address : ldap://winldap.lab.loc:389/DC=lab,DC=loc Config User DN : CN=Administrator,CN=Users,DC=lab,DC=loc Config User Group Attribute : memberOf Config User ID Attribute : sAMAccountName Config User Object Class : user Config User Search Filter : Config User Search Path : CN=Users Config Group Member Attribute: member Config Group Name Attribute : cn Config Group Object Class : group Config Group Search Filter : Config Group Search Path : CN=NetWorker Admins Config Object Class : objectClass Is Active Directory : true Config Search Subtree : true
上述範例顯示了在具有外部 AD 身份驗證的工作實驗室環境中使用的配置設置。某些值(如:伺服器位址、配置使用者以及使用者或組搜索路徑)特定於每個環境;但是,其他值是預設的AD屬性。
若要修正任何不正確的值,請從 NetWorker Management Console (NMC) 或 NetWorker Web 使用者介面 (NWUI) 更新外部授權資源:
或者,可以使用指令檔範本:
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux:/opt/nsr/authc-server/scripts/
Linux:/opt/nsr/authc-server/scripts/
注意: 若要使用 AD,請使用
authc-create-ad-config 若為 LDAP,請使用 authc-create-ldap-config 腳本範本。填入後,請卸下 .template ,然後從管理或根命令提示符運行腳本。
問題 1:不正確的組態使用者 ID 屬性
查詢 AD 或 LDAP 使用者時,此欄位中的不正確值會導致 使用者名稱 欄為空。此列顯示如何為登錄指定使用者名。如果未指定該值,則該帳戶將報告為無效。若要擷取這些值,請執行:
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute :
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
cn=Administrator,cn=Users,dc=lab,dc=loc
cn=Guest,cn=Users,dc=lab,dc=loc
cn=krbtgt,cn=Users,dc=lab,dc=loc
...
注意:“使用者名”列為空。與 LDAP 或 AD 層次結構中的使用者對象關聯的唯一使用者 ID 通常是 uid (LDAP) 或 sAMAccountName (AD)。在配置中更新此值將更正「 使用者名」 列中報告的使用者名。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute : sAMAccountName
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
問題 2:設定使用者物件類為空或不正確。
查詢 AD 或 LDAP 使用者時,此欄位中的值不正確會導致不會傳回任何結果。使用這些命令測試此症狀和原因:
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_IDauthc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class :
在目錄層次結構中標識使用者的物件類的屬性通常是 inetOrgPerson (LDAP) 或使用者 (AD)。
使用這些值更新組態並進行測試,以確保正確報告使用者名稱和辨別名稱 (DN):
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class : user
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
不正確的 設定使用者搜尋路徑 是導致使用者遺失的另一個潛在原因。這是一個 DN,用於指定身份驗證服務在 LDAP 或 AD 層次結構中搜尋使用者時應使用的搜尋路徑。指定相對於在設定伺服器位址選項中指定的基本 DN 的搜尋路徑。例如,對於 AD,請指定 cn=users。向目錄管理員確認此欄位是否正確。
問題 3:組態群組名稱屬性為空白或不正確。
查詢使用者的 AD 或 LDAP 群組時,此欄位中的值不正確,會導致 群組名稱 欄為空。下列命令會檢查症狀和原因:
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
cn=NetWorker Admins,dc=lab,dc=loc
缺少標識組名稱的屬性(如 cn)。使用這些值更新組態,並確保群組名稱現在列在群組 名稱 欄中。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute : cn
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
問題 4:組態群組物件類別為 空白或不正確
在查詢使用者的 AD 或 LDAP 群組時,此欄位中的值不正確會導致不會傳回任何結果。使用這些命令測試症狀和原因:
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name
Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
...
Config Group Object Class :
...
識別目錄階層中群組的物件類別屬性為 groupOfUniqueNames (LDAP) 或 groupOfNames (AD)。若 為 AD,請使用 群組。
使用這些值更新組態,現在應會看到列出的群組名稱和群組 DN:
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class : group
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
群組未顯示的其他潛在原因包括:
- 指定的 AD 使用者
authc_mgmt命令不是 AD 組的成員。測試其他使用者名並與您的AD管理員聯繫以確認使用者或組成員身份。 - 「組態群組搜尋路徑」值不正確。這是一個 DN,用於指定身份驗證服務在目錄層次結構中搜索組時應使用的搜尋路徑。指定相對於您在配置伺服器位址選項中指定的基本 DN 的搜尋路徑。
Additional Information
詳細說明如何使用 NetWorker 配置 AD、LDAP、LDAPS 的方法:
- NetWorker NWUI:如何從 NetWorker Web 使用者介面設定 AD/LDAP
- NetWorker NMC:如何從 NetWorker Management Console 設定 AD/LDAP
- NetWorker:如何使用指令檔設定 AD/LDAP authc_config
- NetWorker:如何配置 LDAPS 認證。
如需其他說明文件,請參閱《NetWorker 安全性組態指南》,網址為: https://www.dell.com/support/home/product-support/product/networker/docs
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.