NetWorker：AD/LDAPの統合および構成（トラブル シューティングガイド）（英語）」

Configuration

次の記事は、NetWorkerでのADまたはLDAPの構成に役立ちます。

NetWorker Webユーザー インターフェイス(NWUI)：AD/LDAPを設定する方法: NetWorker：NetWorker Webユーザー インターフェイスからADまたはLDAPを設定する方法
AD/LDAPの設定方法: NetWorker：AD/LDAP認証の設定方法
セキュアAD/LDAP(LDAPS)を設定する方法: NetWorker：LDAPS認証を構成する方法
 

注意すべき情報:

1. 問題の詳細な説明

• エラー メッセージまたはエラー メッセージが表示されたスクリーンショット

2. NetWorker Management Console (NMC)で使用されているAUTHCサーバーをメモしておきます。
   1. NMCサーバで、次のファイルを確認します。

• • • Linuxの場合/opt/lgtonmc/etc/gstd.conf
    • Windows(デフォルト): C:\Program Files\EMC NetWorker\Management\etc\gstd.conf

1. 2. 次のことを確認します。 authsvc_hostname は正しい AUTHC サーバー・ホスト名です。

3. 環境の詳細:

• 各NetWorkerホストのビルド番号を含む完全なNetWorkerサーバー バージョン(異なる場合):
  • NetWorkerサーバー。
  • AUTHC サーバー (上記の手順 2 を参照)。
  • NetWorker管理コンソール(NMC)サーバー。 
    • NetWorker：NetWorkerソフトウェアのバージョンを識別する方法
• 各NetWorkerホストのオペレーティング システムのバージョン(異なる場合):
  • NetWorkerサーバー。
  • AUTHC サーバー (上記の手順 2 を参照)。
  • NetWorker管理コンソール(NMC)サーバー。 
• 使用中のディレクトリー サービス: Active DirectoryとLDAPサーバーのどちらですか?
• LDAPS(ADまたはLDAP over SSL)は使用されていますか?

4. Active DirectoryまたはLDAPサーバーから属性とオブジェクト クラスを取得します。

• バインド アカウントの識別名(DN)
• ユーザーおよびグループの検索パス(DN)
• ユーザー ID 属性
• ユーザー オブジェクト クラス
• グループ名属性
• グループ オブジェクト クラス
• グループ メンバー属性

情報収集

1. 初期構成またはアップデート中に問題が発生した場合は、次のいずれかの方法が使用されていることを確認し、出力を収集します。

• スクリプト：LinuxとWindowsの両方のNetWorkerサーバで提供されるテンプレート スクリプトがあります。authc-create-ad-config* スクリプトは、認証サーバーが Active Directory の場合に使用されます。authc-create-ldap-config*はLDAPサーバー用です。
  • Linuxの場合/opt/nsr/authc-server/scripts/(authc-create-ad-config.sh.templateおよび authc-create-ldap-config.sh.template)
  • Windowsの場合：C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\(authc-create-ad-config.batおよびauthc-create-ldap-config.bat)
• NMCまたはNWUI: NMCの外部認証機関ウィザードで設定された構成パラメーターのスクリーンショットを収集します。[Show advanced options]を展開していることを確認します。観察されたエラー メッセージのスクリーンショットを収集します。 

2. AD/LDAPの構成に成功したものの、ログイン中に問題が発生する場合は、NetWorkerサーバーで次のコマンドを実行します。

authc_config -u Administrator -e find-all-configs 
authc_config -u Administrator -e find-config -D config-id=config-id_from_above_command

• 設定されるAD/LDAPグループまたはユーザーDN:
  • NMC: NMC ->setup -> ユーザーとロール -> NMC ロール:

• NetWorkerサーバー: サーバー> ユーザー グループ:

3. NetWorkerはAD/LDAPグループとユーザーに対して正しくクエリーを実行しますか?

authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username

4. NMCの外部でAD/LDAPユーザーを認証できますか? NetWorkerサーバーで、次のコマンドを実行します。

nsrlogin -t tenant_name -d domain_name -u external_username

nsrlogout

関連資料

• NetWorkerセキュリティ構成ガイド: https://www.dell.com/support/product-details/product/networker/docs (リンクを使用するにはサポート サイトにサインインする必要があります)。
• NetWorker：ADまたはLDAP外部認証の統合 - ログインまたは情報の欠落に関する問題のトラブルシューティング
• Active Directory には、DN、属性、およびオブジェクト クラスを照会できる ADSI Edit と呼ばれるツールと、dsget ユーティリティと dsquery ユーティリティがあります。
• LDAPサーバーでは、 ldapsearch コマンドまたは同等のツールを使用します。
• Microsoft: PowerShellを使用してADユーザー グループ メンバーシップを取得します。『Get-ADPrincipalGroupMembership』

• authc_configオプション:

usage: authc_config
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given configuration property.
                                (e.g. -D config-domain=foo or --define
                                config-domain=foo)
                                Available property names:
                                tenant-id, tenant-name, tenant-alias,
                                tenant-details, config-id, config-tenant-id,
                                config-name, config-domain,
                                config-server-address, config-user-dn,
                                config-user-dn-password, config-user-group-attr,
                                config-user-id-attr, config-user-object-class,
                                config-user-search-filter,
                                config-user-search-path,
                                config-group-member-attr,
                                config-group-name-attr,
                                config-group-object-class,
                                config-group-search-filter,
                                config-group-search-path, config-object-class,
                                config-active-directory, config-search-subtree,
                                permission-id, permission-name,
                                permission-group-dn,
                                permission-group-dn-pattern, option-id,
                                option-name, option-value
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-tenants, find-tenant, add-tenant,
                                update-tenant, remove-tenant, find-all-configs,
                                find-config, add-config, update-config,
                                remove-config, find-all-permissions,
                                find-permission, add-permission,
                                update-permission, remove-permission,
                                find-all-options, find-option, add-option,
                                update-option, remove-option,
                                query-api-versions, query-cert-pem,
                                query-cert-pemtext, query-server-info
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.

• authc_mgmtオプション:

usage: authc_mgmt
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given management property.
                                (e.g. -D user-name=foo or --define
                                user-name=foo)
                                Available property names:
                                user-id, user-name, user-domain, user-password,
                                user-first-name, user-last-name, user-email,
                                user-details, user-enabled, user-groups (csv
                                format), group-id, group-name, group-details,
                                group-users (csv format), query-tenant,
                                query-domain, password-new-value,
                                user-options-id, user-options-user-id,
                                user-options-password-must-change,
                                user-options-password-never-expires
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-users, find-user, add-user,
                                update-user, remove-user, update-password,
                                find-all-user-options, find-user-options,
                                update-user-options, find-all-groups,
                                find-group, add-group, update-group,
                                remove-group, query-ldap-users,
                                query-ldap-groups, query-ldap-users-for-group,
                                query-ldap-groups-for-user
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.