NetWorker: Konfigurieren der LDAPS-Authentifizierung

Summary: Übersicht über die Konfiguration von AD oder LDAPS (Secure Lightweight Directory Access Protocol) mit NetWorker mithilfe des NMC-Assistenten für externe Zertifizierungsstellen. Dieser Wissensdatenbank-Artikel kann auch zum Aktualisieren der vorhandenen Konfiguration einer externen Zertifizierungsstelle verwendet werden. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dieser Artikel kann in die folgenden Abschnitte unterteilt werden. Lesen Sie jeden Abschnitt sorgfältig durch, bevor Sie fortfahren:

Voraussetzungen:

  • Ermitteln Sie, welcher Host der authc -Server ist. Dies ist in größeren NetWorker-Datenzonen hilfreich. In kleineren Datenzonen mit einem einzigen NetWorker-Server ist der NetWorker-Server der Authentifizierungsserver. 
  • Ermitteln Sie, welche Java-Laufzeitumgebung für den Authentifizierungsservice verwendet wird.
  • Legen Sie Befehlszeilenvariablen fest, um den Import der CA-Zertifikate zu erleichtern, die für SSL mit externer NetWorker-Authentifizierung verwendet werden.

Einrichten von SSL:

  • Importieren Sie die für die LDAPS-Authentifizierung verwendeten Zertifikate in den cacerts -Keystore der Laufzeitumgebung des Authentifizierungsservice.

Konfigurieren der externen Zertifizierungsstellenressource:

  • Erstellen Sie die externe Zertifizierungsstellenressource im Authentifizierungsservice.
  • Legen Sie externe NutzerInnen oder Gruppen fest, die für NetWorker verwendet werden sollen.
  • Legen Sie fest, welche externen NutzerInnen oder Gruppen Zugriff auf die NetWorker Management Console (NMC) haben dürfen.
  • Legen Sie die NetWorker-Serverberechtigungen für die externen NutzerInnen und Gruppen fest.
  • (Optional) Konfigurieren Sie FULL_CONTROL-Sicherheitsberechtigungen für eine/n externe/n NutzerIn oder eine externe Gruppe.

Voraussetzungen:

Um LDAPS zu verwenden, müssen Sie das CA-Zertifikat (oder die Zertifikatkette) vom LDAPS-Server in den Java-Cacerts-Keystore des NetWorker-Authentifizierungsservers importieren.

  1. Ermitteln Sie, welcher Host der NetWorker-Authentifizierungsserver ist. Dies kann in der gstd.conf-Datei des NetWorker Management Console-(NMC-)Servers überprüft werden:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
HINWEIS: Die Datei gstd.conf enthält eine Zeichenfolge authsvc_hostname , die den Authentifizierungsserver angibt, der zur Verarbeitung von Anmeldeanfragen für die NetWorker Management Console (NMC) verwendet wird.
  1. Identifizieren Sie auf dem NetWorker-Authentifizierungsserver die verwendete Java-Instanz.
Windows:
A. Suchen Sie in der Windows-Suchleiste nach Info.
B. Klicken Sie unter Info auf Erweiterte Systemeinstellungen.
C. Klicken Sie in den Systemeigenschaften auf Umgebungsvariablen.
D. Die Datei NSR_JAVA_HOME gibt den Pfad der von NetWorker verwendeten Java-Laufzeitumgebung an. authc:

NSR_JAVA_HOME

    1. E. Legen Sie über eine administrative Eingabeaufforderung Befehlszeilenvariablen fest, die den im obigen Schritt ermittelten Java-Installationspfad angeben:
set JAVA="Path\to\java"
Beispiel:
 Beispieleinstellung für JAVA-Variable in Windows  
Erleichtert die Java keytool -Befehle unter Einrichten von SSL und stellt sicher, dass die korrekte cacerts -Datei das CA-Zertifikat importiert. Diese Variable wird entfernt, sobald die Befehlszeilensitzung geschlossen wird, und wirkt sich nicht auf andere NetWorker-Vorgänge aus.

Linux:

    A. Überprüfen Sie die Datei /nsr/authc/conf/installrc , um zu ermitteln, welcher Java-Speicherort bei der Konfiguration des Authentifizierungsservice verwendet wurde:

    sudo cat /nsr/authc/conf/installrc
    Beispiel: 
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    HINWEIS: Diese Variable gilt nur für NetWorker-Vorgänge. Es ist möglich, dass echo $JAVA_HOME einen anderen Pfad zurückgibt, z. B. wenn auch die Oracle Java Runtime Environment (JRE) installiert ist. Im nächsten Schritt ist es wichtig, den $JAVA_HOME -Pfad aus der NetWorker-Datei /nsr/authc/conf/installrc zu verwenden.

    B. ​​​​Legen Sie Befehlszeilenvariablen fest, die den im obigen Schritt ermittelten Java-Installationspfad angeben.

    JAVA=/path/to/java
    Beispiel:
    Festlegen der Java-Variablen in Linux 
    Erleichtert die Java keytool -Befehle unter Einrichten von SSL und stellt sicher, dass die korrekte cacerts -Datei das CA-Zertifikat importiert. Diese Variable wird entfernt, sobald die Befehlszeilensitzung geschlossen wird, und wirkt sich nicht auf andere NetWorker-Vorgänge aus.

    Einrichten von SSL

    Um LDAPS zu verwenden, müssen Sie das CA-Zertifikat (oder die Zertifikatkette) vom LDAPS-Server in den JAVA-Trust-Keystore importieren. Verwenden Sie hierfür das folgende Verfahren:

    HINWEIS: Das folgende Verfahren verwendet Befehlszeilenvariablen, die gemäß dem Abschnitt Voraussetzungen festgelegt wurden. Wenn die Befehlszeilenvariablen nicht festgelegt sind, geben Sie stattdessen den vollständigen Java-Pfad an.
    1. Öffnen Sie eine Eingabeaufforderung mit administrativen/Root-Rechten.
    2. Zeigen Sie die Liste der aktuell vertrauenswürdigen Zertifikate im Trust Store an.
    Windows: 
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    3. Suchen Sie in der Liste nach dem Alias für Ihren LDAPS-Server (dieser Alias ist möglicherweise nicht vorhanden). Sie können die Betriebssystembefehle grep oder findstr mit dem obigen Befehl verwenden, um die Suche einzugrenzen. Löschen Sie veraltete oder bestehende CA-Zertifikate mit dem folgenden Befehl von Ihrem LDAPS-Server:

    Windows:

    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux: 
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    HINWEIS: Ersetzen Sie ALIAS_NAME durch den Aliasnamen der alten oder abgelaufenen Zertifikate aus Schritt 2.
      4. Verwenden Sie das OpenSSL-Tool, um eine Kopie des CA-Zertifikats vom LDAPS-Server abzurufen. 
      openssl s_client -showcerts -connect LDAPS_SERVER:636
      • Windows-Hosts enthalten standardmäßig nicht das openssl -Programm. Wenn OpenSSL nicht auf dem NetWorker-Server installiert werden kann, können die Zertifikate direkt vom LDAPS-Server exportiert werden. Es wird jedoch dringend empfohlen, das OpenSSL-Dienstprogramm zu verwenden. 
      • Auf Linux ist openssl in der Regel installiert. Wenn in der Umgebung Linux-Server vorhanden sind, können Sie openssl verwenden, um die Zertifikatsdateien abzurufen. Diese können auf den Windows- authc -Server kopiert und verwendet werden.
      • Wenn Sie kein OpenSSL haben und es nicht installiert werden kann, bitten Sie Ihre/n AD-AdministratorIn, ein oder mehrere Zertifikate im Base-64-codierten x.509-Format zu exportieren.
      • Ersetzen Sie LDAPS_SERVER durch den Hostnamen oder die IP-Adresse Ihres LDAPS-Servers.
      5. Der obige Befehl gibt das CA-Zertifikat oder eine Kette von Zertifikaten im PEM-Format (Privacy Enhanced Mail) aus, z. B.: 
      -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
ADBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxFjAUBgoJkiaJk/IsZAEZFgZlbWNs
...
7NZfi9DiEBhpFmbF8xP96qB/kTJC+29t/0VE8Fvlg87fRhs5BceIoX8nUnetNCdm
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
      HINWEIS: Wenn eine Zertifikatkette vorhanden ist, ist das letzte Zertifikat das CA-Zertifikat. Sie müssen jedes Zertifikat in der Kette in der Reihenfolge (von oben nach unten) importieren, die mit dem CA-Zertifikat endet.
       
      6. Kopieren Sie das Zertifikat beginnend mit ---BEGIN CERTIFICATE--- und endend mit ---END CERTIFICATE--- und fügen Sie es in eine neue Datei ein. Wenn eine Kette von Zertifikaten vorhanden ist, müssen Sie dies für jedes Zertifikat wiederholen.
      7. Importieren Sie das Zertifikat oder die Zertifikatdateien in den JAVA-Trust-Keystore:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE

      Linux:

      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Ersetzen Sie ALIAS_NAME durch einen Alias für das importierte Zertifikat (z. B. RCA (Root-CA)). Beim Importieren mehrerer Zertifikate für eine Zertifikatkette muss jedes Zertifikat einen anderen ALIAS-Namen haben und separat importiert werden. Die Zertifikatkette muss ebenfalls in der Reihenfolge von Schritt 5 (von oben nach unten) importiert werden.
      • Ersetzen Sie PATH_TO\CERT_FILE durch den Speicherort der Zertifikatdatei, die Sie in Schritt 6 erstellt haben.
      8. Sie werden aufgefordert, das Zertifikat zu importieren. Geben Sie yes ein und drücken Sie die Eingabetaste. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Vergewissern Sie sich, dass das Zertifikat im Keystore angezeigt wird:
      Windows: 
      %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit

      Linux:

      $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
      HINWEIS: Verwenden Sie das Pipe-Symbol (|) für die Betriebssystembefehle grep oder findstr , um die Ergebnisse einzugrenzen. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Starten Sie die NetWorker-Serverdienste neu. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      HINWEIS: Starten Sie die NetWorker-Serverdienste neu, um sicherzustellen, dass „authc“ die cacerts-Datei liest und importierte Zertifikate für die SSL-Kommunikation mit dem LDAP-Server erkennt.
       

      Konfigurieren der externen Zertifizierungsstellenressource

      Dieser Wissensdatenbank-Artikel konzentriert sich auf die Verwendung der NetWorker Management Console (NMC) für die Konfiguration von LDAP over SSL. Bei der Konfiguration von AD over SSL wird empfohlen, die NetWorker-Webnutzeroberfläche (NWUI) zu verwenden. Dieser Vorgang wird ausführlich beschrieben in:

      Alternativ können Sie die authc_config -Skriptmethode verwenden:

      Sie können in diesen Artikeln direkt zu dem Teil springen, in dem die externe Zertifizierungsstellenressource erstellt wird, da das Verfahren zum Importieren von Zertifikaten nicht wiederholt werden muss.

      HINWEIS: Dieser Wissensdatenbank-Artikel gilt für die Konfiguration von AD over SSL. Es sind jedoch zusätzliche Schritte erforderlich. Diese Schritte werden im Folgenden beschrieben.

      1. Melden Sie sich mit dem NetWorker-Administratorkonto bei der NetWorker Management Console (NMC) an. Wählen Sie Setup–> Nutzer und Rollen –> Externe Zertifizierungsstelle aus.
      2. Erstellen oder ändern Sie Ihre vorhandene Konfiguration für die externe Zertifizierungsstelle und wählen Sie LDAP over SSL aus der Drop-down-Liste „Servertyp“ aus. Dadurch wird der Port automatisch von 389 auf 636 geändert:
      Beispiel für das Hinzufügen von AD over SSL über die NMC
      HINWEIS: Erweitern Sie das Feld „Erweiterte Optionen anzeigen“ und stellen Sie sicher, dass für Ihren Authentifizierungsserver die richtigen Werte festgelegt wurden. Eine Tabelle mit Erläuterungen zu den Feldern und Werten finden Sie im Abschnitt Weitere Informationen dieses Wissensdatenbank-Artikels.

      Für Active Directory over SSL:

      WARNUNG: Wenn Sie die NMC-Einstellung LDAP over SSL mit Microsoft Active Directory verwenden, wird der interne Konfigurationsparameter „is active directory“ auf „false“ festgelegt. Dies verhindert eine erfolgreiche AD-Authentifizierung in NetWorker. Mit den folgenden Schritten können Sie dies korrigieren.

      A. Rufen Sie die Konfigurations-ID-Details ab:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Beispiel:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Verwenden Sie den Befehl authc_config , um is-active-directory=yfestzulegen: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      HINWEIS: Die für diese Felder erforderlichen Werte können aus Schritt A abgerufen werden.
       
      Beispiel: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Die externe Zertifizierungsstellenressource ist jetzt korrekt für Microsoft Active Directory konfiguriert.

       
      3. Sie können den Befehl authc_mgmt auf dem NetWorker-Server verwenden, um zu bestätigen, dass die AD/LDAP-Gruppen/‑NutzerInnen sichtbar sind: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Beispiel: 
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      HINWEIS: Auf einigen Systemen können die Befehle authc mit dem Fehler „falsches Kennwort“ fehlschlagen, selbst wenn das richtige Kennwort angegeben wurde. Dies liegt daran, dass das Kennwort als sichtbarer Text mit der Option-pangegeben wurde. Wenn Sie auf dieses Problem stoßen, entfernen Sie „-p password“ aus den Befehlen. Sie werden aufgefordert, das Kennwort einzugeben, das nach dem Ausführen des Befehls verborgen ist.
       

      Konfigurieren der NMC für das Akzeptieren externer Authentifizierung:

      4. Wenn Sie mit dem NetWorker-Administratorkonto bei der NMC angemeldet sind, öffnen Sie Setup –> Nutzer und Rollen –> NMC-Rollen. Öffnen Sie die Eigenschaften der Rolle Konsolenanwendungsadministratoren und geben Sie den Eindeutigen Namen Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. (DN) einer AD/LDAP-Gruppe in das Feld Externe Rollen ein. Geben Sie für NutzerInnen, die die gleichen Berechtigungen wie das standardmäßige NetWorker-Administratorkonto benötigen, den AD/LDAP-Gruppen-DN in der Rolle Konsolensicherheitsadministrator an. Für AD-NutzerInnen oder -Gruppen, die keine Administratorrechte für die NMC-Konsole benötigen, geben Sie den jeweiligen vollständigen DN in den externen Rollen Konsolennutzer an.

      Beispiel für externe Rollen, die in NMC-Rollen festgelegt sind 
      HINWEIS: Standardmäßig ist der DN der lokalen Administratorgruppe des NetWorker-Servers bereits vorhanden. Löschen Sie diesen nicht.
       

      Konfigurieren der externen Nutzerberechtigungen für den NetWorker-Server:

      5. Verbinden Sie den NetWorker-Server über NMC und öffnen Sie Server –> Nutzergruppen. Geben Sie den Eindeutigen Namen (DN) einer AD/LDAP-Gruppe in das Feld Externe Rollen in den Eigenschaften der Rolle Anwendungsadministrator ein. Für NutzerInnen, die die gleichen Berechtigungen wie das standardmäßige NetWorker-Administratorkonto benötigen, müssen Sie den AD/LDAP-Gruppen-DN in der Rolle Sicherheitsadministrator angeben.
      Konfigurieren von nsr-Nutzergruppen mit externen NutzerInnen oder Gruppen
      HINWEIS: Standardmäßig ist der DN der lokalen Administratorgruppe des NetWorker-Servers bereits vorhanden. Löschen Sie diesen nicht.
       
      Alternativ können Sie die nsraddadmin für externe NutzerInnen/Gruppen verwenden, die über vollständige NetWorker-Administratorrechte verfügen sollten: 
      nsraddadmin -e "USER/GROUP_DN"
      Beispiel: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Zugriff auf die NMC:
      Sie sollten Zugriff auf die NMC und den NetWorker-Server mit den externen NutzerInnen haben, denen die entsprechende Berechtigung erteilt wurde.
      Anmeldung als externe/r NutzerIn
      Nach der Anmeldung wird der/die NutzerIn in der oberen rechten Ecke der NMC angezeigt:
      NMC zeigt AD-NutzerIn an

      Zusätzliche Sicherheitsberechtigungen

      6. (OPTIONAL) Wenn eine AD/LDAP-Gruppe externe Zertifizierungsstellen managen soll, müssen Sie auf dem NetWorker-Server Folgendes ausführen.
       
      A. Öffnen Sie eine Eingabeaufforderung mit administrativen/Root- Rechten.
      B. Führen Sie mit dem AD-Gruppen-DN, dem Sie die FULL_CONTROL-Berechtigung erteilen möchten, Folgendes aus: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Beispiel: 
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Additional Information

      Weitere Informationen finden Sie im NetWorker-Sicherheitskonfigurationsleitfaden unter: https://www.dell.com/support/home/product-support/product/networker/docs

      Konfigurationswerte:

      Servertyp Wählen Sie LDAP aus, wenn es sich bei dem Authentifizierungsserver um einen Linux/UNIX-LDAP-Server handelt, und Active Directory, wenn Sie einen Microsoft Active Directory-Server verwenden.
      Name der Zertifizierungsstelle Geben Sie einen Namen für die externe Authentifizierungsstelle an. Es kann ein beliebiger Name sein, er dient nur zur Unterscheidung von Zertifizierungsstellen, wenn mehrere konfiguriert werden.
      Anbieter-Servername Dieses Feld sollte den vollständig qualifizierten Domainnamen (FQDN) Ihres AD- oder LDAP-Servers enthalten.
      Mandant Mandanten können in Umgebungen verwendet werden, in denen mehr als eine Authentifizierungsmethode verwendet wird oder in denen mehrere Zertifizierungsstellen konfiguriert werden müssen. Standardmäßig wird der „Standardmandant“ ausgewählt. Die Verwendung von Mandanten ändert Ihre Anmeldemethode. Melden Sie sich für den Standardmandanten mit „domain\nutzerIn“ oder für andere Mandanten mit „mandant\domain\nutzerIn" bei der NMC an.
      Domäne Geben Sie den vollständigen Domainnamen (ohne einen Hostnamen) an. In der Regel ist dies Ihr Basis-DN, der aus den Werten der Domainkomponente (DC) Ihrer Domain besteht. 
      Portnummer Verwenden Sie für die LDAP- und AD-Integration Port 389. Verwenden Sie für LDAP over SSL Port 636.
      Diese Ports sind Nicht-NetWorker-Standardports auf dem AD/LDAP-Server.
      Nutzer-DN Geben Sie den eindeutigen Namen (Distinguished Name, DN) eines Nutzerkontos an, das vollständigen Lesezugriff auf das LDAP- oder AD-Verzeichnis hat.
      Geben Sie den relativen DN des Nutzerkontos oder den vollständigen DN an, wenn Sie den im Feld „Domain“ festgelegten Wert überschreiben.
      Nutzer-DN-Kennwort Geben Sie das Kennwort für das angegebene Nutzerkonto an.
      Gruppenobjektklasse Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
      • Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames 
        HINWEIS: Es gibt noch weitere Gruppenobjektklassen außer groupOfUniqueNames und groupOfNames.  Verwenden Sie die Objektklasse, die auf dem LDAP-Server konfiguriert ist.
      • Verwenden Sie für AD group
      Gruppensuchpfad Dieses Feld kann leer gelassen werden, da authc in diesem Fall in der Lage ist, die gesamte Domain abzufragen. Es müssen Berechtigungen für den NMC/NetWorker-Serverzugriff gewährt werden, bevor sich diese NutzerInnen/Gruppen bei der NMC anmelden und den NetWorker-Server managen können. Geben Sie den relativen Pfad zur Domain anstelle des vollständigen DN an.
      Gruppenname-Attribut Das Attribut, das den Gruppennamen angibt. Zum Beispiel: cn
      Group Member Attribute Die Gruppenmitgliedschaft des Nutzers/der Nutzerin innerhalb einer Gruppe
      • Für LDAP:
        • Wenn die Gruppenobjektklasse groupOfNamesist , ist das Attribut in der Regel member.
        • Wenn die Gruppenobjektklasse groupOfUniqueNamesist , ist das Attribut in der Regel uniquemember.
      •  Bei AD ist der Wert in der Regel member.
      Benutzerobjektklasse Die Objektklasse, die NutzerInnen in der LDAP- oder AD-Hierarchie identifiziert.
      Zum Beispiel inetOrgPerson oder user
      Nutzersuchpfad Wie der Gruppensuchpfad kann auch dieses Feld leer gelassen werden, da „authc“ in diesem Fall in der Lage ist, die gesamte Domain abzufragen. Geben Sie den relativen Pfad zur Domain anstelle des vollständigen DN an.
      Benutzer-ID-Attribut Die Nutzer-ID, die dem Nutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
      • Für LDAP ist dieses Attribut in der Regel uid.
      • Für AD ist dieses Attribut in der Regel sAMAccountName.

      Weitere relevante Artikel:

      Affected Products

      NetWorker
      Article Properties
      Article Number: 000156132
      Article Type: How To
      Last Modified: 17 Jun 2025
      Version:  14
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.