NetWorker: AD 및 LDAP 통합 및 구성(문제 해결 가이드)

구성

다음 문서는 NetWorker에서 AD 또는 LDAP를 구성하는 방법에 대한 도움이 될 수 있습니다.

NWUI(NetWorker Web User Interface): AD/LDAP 구성 방법: NetWorker: NetWorker 웹 UI 인터페이스에서 AD 또는 LDAP를 구성하는 방법
AD/LDAP 구성 방법: NetWorker: AD/LDAP 인증을
설정하는 방법보안 AD/LDAP(LDAPS)를 구성하는 방법: NetWorker: LDAPS 인증 구성 방법
 

참고할 정보:

1. 문제 상세 설명

• 오류 메시지를 보여주는 오류 메시지 또는 스크린샷

2. NMC(NetWorker Management Console)에서 사용하는 AUTHC 서버를 기록해 둡니다.
   1. NMC 서버에서 다음 파일을 확인합니다.

• • • Linux: /opt/lgtonmc/etc/gstd.conf
    • Windows(기본값): C:\Program Files\EMC NetWorker\Management\etc\gstd.conf

1. 2. 다음을 확인합니다. authsvc_hostname 올바른 AUTHC 서버 호스트 이름입니다.

3. 환경 세부 정보:

• 각 NetWorker 호스트의 빌드 번호(다른 경우)를 포함한 전체 NetWorker Server 버전:
  • NetWorker 서버입니다.
  • AUTHC 서버(위의 2단계 참조).
  • NMC(NetWorker Management Console) 서버 
    • NetWorker: NetWorker 소프트웨어 버전을 확인하는 방법
• 각 NetWorker 호스트의 운영 체제 버전(다른 경우):
  • NetWorker 서버입니다.
  • AUTHC 서버(위의 2단계 참조).
  • NMC(NetWorker Management Console) 서버 
• 사용 중인 디렉토리 서비스: Active Directory 또는 LDAP 서버입니까?
• LDAPS(AD 또는 LDAP over SSL)를 사용 중입니까?

4. Active Directory 또는 LDAP 서버에서 특성 및 객체 클래스를 가져옵니다.

• 바인딩 계정의 DN(Distinguished Name)
• 사용자 및 그룹 검색 경로(DN)
• 사용자 ID 속성
• 사용자 개체 클래스
• 그룹 이름 특성
• 그룹 오브젝트 클래스
• 그룹 구성원 특성

정보 수집

1. 초기 구성 또는 업데이트 중에 문제가 발생하면 다음 방법 중 사용 중인 방법을 확인하고 출력을 수집합니다.

• 각본: Linux NetWorker Server와 Windows NetWorker Server에 모두 제공되는 템플릿 스크립트가 있습니다. authc-create-ad-config* 스크립트는 인증 서버가 Active Directory일 때 사용됩니다. authc-create-ldap-config*는 LDAP 서버용입니다.
  • Linux: /opt/nsr/authc-server/scripts/(authc-create-ad-config.sh.template 및 authc-create-ldap-config.sh.template)
  • Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\(authc-create-ad-config.bat 및 authc-create-ldap-config.bat)
• NMC 또는 NWUI: NMC의 외부 기관 마법사에서 설정된 구성 매개변수의 스크린샷을 수집합니다. "Show advanced options"를 확장해야 합니다. 관찰된 오류 메시지의 스크린샷을 수집합니다. 

2. AD/LDAP 구성에 성공했지만 로그인 중에 문제가 발생하는 경우 NetWorker Server에서 다음을 실행합니다.

authc_config -u Administrator -e find-all-configs 
authc_config -u Administrator -e find-config -D config-id=config-id_from_above_command

• 어떤 AD/LDAP 그룹 또는 사용자 DN이 설정됩니까?
  • NMC: NMC -> 설정 -> 사용자 및 역할 -> NMC 역할:

• NetWorker 서버: 서버 -> 사용자 그룹:

3. NetWorker가 AD/LDAP 그룹 및 사용자를 올바르게 쿼리합니까?

authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username

4. NMC 외부에서 AD/LDAP 사용자를 인증할 수 있습니까? NetWorker Server에서 다음을 실행합니다.

nsrlogin -t tenant_name -d domain_name -u external_username

nsrlogout

추가 리소스

• NetWorker 보안 구성 가이드: https://www.dell.com/support/product-details/product/networker/docs (링크가 작동하려면 지원 사이트에 로그인해야 함)
• NetWorker: AD 또는 LDAP 외부 인증 통합 - 로그인 문제 또는 정보 누락 문제 해결
• Active Directory에는 DN, 특성 및 개체 클래스와 dsget 및 dsquery 유틸리티를 쿼리할 수 있는 ADSI Edit 라는 도구가 있습니다.
• LDAP 서버에서는 ldapsearch 명령이나 이와 동등한 툴을 사용합니다.
• 마이크로 소프트: PowerShell을 사용하여 AD 사용자 그룹 구성원 자격을 얻습니다. Get-ADPrincipalGroupMembership

• authc_config 옵션:

usage: authc_config
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given configuration property.
                                (e.g. -D config-domain=foo or --define
                                config-domain=foo)
                                Available property names:
                                tenant-id, tenant-name, tenant-alias,
                                tenant-details, config-id, config-tenant-id,
                                config-name, config-domain,
                                config-server-address, config-user-dn,
                                config-user-dn-password, config-user-group-attr,
                                config-user-id-attr, config-user-object-class,
                                config-user-search-filter,
                                config-user-search-path,
                                config-group-member-attr,
                                config-group-name-attr,
                                config-group-object-class,
                                config-group-search-filter,
                                config-group-search-path, config-object-class,
                                config-active-directory, config-search-subtree,
                                permission-id, permission-name,
                                permission-group-dn,
                                permission-group-dn-pattern, option-id,
                                option-name, option-value
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-tenants, find-tenant, add-tenant,
                                update-tenant, remove-tenant, find-all-configs,
                                find-config, add-config, update-config,
                                remove-config, find-all-permissions,
                                find-permission, add-permission,
                                update-permission, remove-permission,
                                find-all-options, find-option, add-option,
                                update-option, remove-option,
                                query-api-versions, query-cert-pem,
                                query-cert-pemtext, query-server-info
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.

• authc_mgmt 옵션:

usage: authc_mgmt
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given management property.
                                (e.g. -D user-name=foo or --define
                                user-name=foo)
                                Available property names:
                                user-id, user-name, user-domain, user-password,
                                user-first-name, user-last-name, user-email,
                                user-details, user-enabled, user-groups (csv
                                format), group-id, group-name, group-details,
                                group-users (csv format), query-tenant,
                                query-domain, password-new-value,
                                user-options-id, user-options-user-id,
                                user-options-password-must-change,
                                user-options-password-never-expires
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-users, find-user, add-user,
                                update-user, remove-user, update-password,
                                find-all-user-options, find-user-options,
                                update-user-options, find-all-groups,
                                find-group, add-group, update-group,
                                remove-group, query-ldap-users,
                                query-ldap-groups, query-ldap-users-for-group,
                                query-ldap-groups-for-user
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.