NetWorker:如何設定 AD/LDAP 驗證

Summary: 本知識文章概述如何使用 NetWorker Management Console (NMC) 外部授權精靈,將外部授權新增至 NetWorker。Active Directory (AD) 或 Linux LDAP 認證可與預設 NetWorker 系統管理員帳戶或其他本機 NMC 帳戶一起使用。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

注意:若為 AD over SSL 整合,應使用 NetWorker Web 使用者介面來設定外部授權。請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)。

 

外部授權資源可從 NetWorker Management Console (NMC)、NetWorker Web 使用者介面 (NWUI) 或 AUTHC 指令檔建立和管理:

  • NetWorker 管理主控台 (NMC):使用 NetWorker 系統管理員帳戶登入 NMC。前往 設定->使用者和角色->外部授權
  • NetWorker Web 使用者介面 (NMC):使用 NetWorker 系統管理員帳戶登入 NWUI。前往驗證伺服器 ->外部授權單位
注意:此 KB 顯示如何使用 NMC 新增 AD/LDAP。如需使用 NWUI 的詳細說明,請參閱:NetWorker:如何從 NetWorker Web 使用者介面設定 AD 或 LDAP。

先決條件:

外部認證 (AD 或 LDAP) 已整合至 NetWorker 認證 (AUTHC) 伺服器的資料庫中。它不直接屬於 NMC 或 NWUI 資料庫。在具有單一 NetWorker 伺服器的環境中,NetWorker 伺服器為 AUTHC 主機。在有多個 NetWorker 伺服器,且透過單一 NMC 管理的環境中,只有其中一個 NetWorker 伺服器是 AUTHC 伺服器。必須確定 AUTHC 主機 authc_mgmt 本文後續步驟中使用的命令。可在 NetWorker Management Console (NMC) 伺服器識別 AUTHC 伺服器 gstd.conf 檔案:

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (預設): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    注意:可使用 gstd.conf 檔案包含字串 authsvc_hostname 其定義用於處理 NetWorker Management Console (NMC) 登入要求的驗證伺服器。

程序:

使用預設的 NetWorker 系統管理員帳戶登入 NetWorker Management Console (NMC)。在 設定 標籤 -->使用者和角色下,有一個外部授權的新選項。

外部授權儲存庫的 NetWorker 管理主控台設定視窗
 
  1. 要添加新頒發機構,請在外部頒發機構視窗中按一下滑鼠右鍵,然後選擇新建
  2. 在外部認證機構方塊中,您必須在必填欄位中填入您的 AD/LDAP 資訊。
  3. 勾選「顯示進階選項」方塊以查看所有欄位。
伺服器類型 如果驗證伺服器是 Linux/UNIX LDAP 伺服器,請選取 LDAP,如果您使用 Microsoft Active Directory 伺服器,請選取 Active Directory。
授權單位名稱 為此外部驗證授權單位提供名稱。此名稱可以是您想要的任何名稱,它只是為了在設定多個授權單位時區分其他授權單位。
供應商伺服器名稱 此欄位應包含 AD 或 LDAP 伺服器的完整網域名稱 (FQDN)。
租戶 租戶可用於可能使用多種認證方法,或是必須設定多個授權單位的環境中。預設為選取「預設」租戶。使用租戶會更改您的登入方法。若為預設租戶,請使用「domain\user」登入 NMC,若為其他租戶則使用「tenant\domain\user」登入 NMC。
網域 指定您的完整網域名稱 (不包括主機名稱)。通常,這是您的基本可分辨名稱 (DN),由域的域元件 (DC) 值組成。 
連接埠號碼 若為 LDAP 和 AD 整合,請使用連接埠 389。若為 LDAP over SSL,請使用連接埠 636。這些連接埠是 AD/LDAP 伺服器上的非 NetWorker 預設連接埠。
注意:將連接埠變更為 636 不足以設定 SSL。CA 證書(和鏈,如果使用鏈)必須從域伺服器導入到 AUTHC 伺服器。請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)。
使用者 DN 指定對 LDAP 或 AD 目錄具有完全讀取存取權限的使用者帳戶的 辨別名稱此超連結會帶您前往 Dell Technologies 以外的網站。  (DN)。
指定使用者帳戶的相對 DN,如果覆蓋「域」欄位中設置的值,則指定完整 DN。
使用者 DN 密碼 指定所指定使用者帳戶的密碼。
群組物件類別 識別 LDAP 或 AD 階層中群組的物件類別。
  • 若為 LDAP,請使用 groupOfUniqueNamesgroupOfNames 
    • 注意:除以下項目外,還有其他群組物件類別: groupOfUniqueNamesgroupOfNames。  使用在 LDAP 伺服器中設定的任何物件類別。
  • 若為 AD,請使用 group
群組搜尋路徑 此欄位可以保留空白,在這種情況下,AUTHC 能夠查詢完整的域。必須先授予 NMC/NetWorker 伺服器存取權限,這些使用者/群組才能登入 NMC 並管理 NetWorker 伺服器。指定域的 相對 路徑,而不是完整 DN。
群組名稱屬性 標識組名稱的屬性;例如 ,CN
群組成員屬性 指定組內使用者的組成員身份。
  • 對於 LDAP:
    • 當群組物件類別為 groupOfNames 屬性通常為 member
    • 當群組物件類別為 groupOfUniqueNames 屬性通常為 uniquemember
  •  對於 AD,該值通常為 member
使用者物件類別 識別 LDAP 或 AD 階層中使用者的物件類別。
例如, inetOrgPersonuser
使用者搜尋路徑 與群組搜尋路徑一樣,此欄位可以保留空白,在這種情況下,AUTHC 能夠查詢完整的域。指定域的 相對 路徑,而不是完整 DN。
使用者 ID 屬性 與 LDAP 或 AD 階層中使用者物件相關聯的使用者 ID。
  • 對於 LDAP,此屬性通常是 uid
  • 對於 AD,此屬性通常是 sAMAccountName
例如,Active Directory 整合:
將 Active Directory 認證新增至 NetWorker 的範例
注意:若要確認您的環境需要哪些 AD/LDAP 特定欄位,請向您的 AD/LDAP 管理員洽詢。
 
  1. 填入所有欄位後,按一下確定以新增授權單位。
  2. 您可以使用 authc_mgmt 命令,以確認 AD/LDAP 群組/使用者可見:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
例如: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
注意:在某些系統上,即使提供了正確的密碼,AUTHC 命令也可能失敗並出現「不正確的密碼」錯誤。這是因為密碼使用-p」選項指定為可見文字。如果您遇到這種情況,請從命令移除「-p password」。執行命令後,系統會提示您輸入隱藏的密碼。
 
  1.  以預設 NetWorker 系統管理員帳戶登入 NMC 時,請開啟設定-->使用者和角色-->NMC 角色。開啟「主控台應用程式管理員」角色的屬性,並在外部角色欄位中輸入 AD/LDAP 群組 (在步驟 5 中收集) 的 辨別名稱此超連結會帶您前往 Dell Technologies 以外的網站。  (DN)。對於需要預設 NetWorker 管理員權限的使用者,請在「主控台安全性管理員」角色中指定 AD/LDAP 群組 DN。對於不需要 NMC 主控台管理權限的使用者/群組,請在「主控台使用者」-外部角色中新增其完整 DN。
注意:根據預設,已存在 NetWorker 伺服器的本機系統管理員群組的 DN,請勿刪除。
  1. 每個在 NMC 中設定的 NetWorker 伺服器也必須套用存取權限。這可以通過以下兩種方式之一完成:
選項 1)
從 NMC 連線 NetWorker 伺服器,開啟伺服器 -->使用者群組。開啟「應用程式管理員」角色的屬性,並在外部角色欄位中輸入 AD/LDAP 群組 (在步驟 5 中收集) 的 辨別名稱此超連結會帶您前往 Dell Technologies 以外的網站。 (DN)。對於需要與預設 NetWorker 系統管理員帳戶相同層級權限的使用者,您必須在「安全性管理員」角色中指定 AD/LDAP 群組 DN。

注意:根據預設,已存在 NetWorker 伺服器的本機系統管理員群組的 DN,請勿刪除。
 
選項 2)
對於您想要授予管理員權限的 AD 使用者/群組 nsraddadmin 命令可從 NetWorker 伺服器上的管理員或 root 命令提示字元執行: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
範例:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. 使用您的 AD/LDAP 帳戶 (例如:domain\user) 登入 NMC:
以外部使用者登入的範例
如果使用了預設租戶以外的租戶,則必須在網域之前指定該租戶,例如:tenant\domain\user。
使用的帳戶顯示在右上角。使用者可以根據 NetWorker 中指派的角色來執行動作。
外部使用者登入後的外觀範例
  1. (選擇性)如果您想要讓 AD/LDAP 群組能夠管理外部授權單位,您必須在 NetWorker 伺服器上執行下列步驟。
    1. 開啟系統管理/root 命令提示字元。
    2. 使用要授予的 AD 組 DN(在步驟 5 中收集) FULL_CONTROL 執行權限:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
例如 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Additional Information

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000156107
Article Type: How To
Last Modified: 16 Dec 2025
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.