NetWorker：AD 和 LDAP 集成和配置（故障处理指南）

配置

以下文章可帮助您使用 NetWorker 配置 AD 或 LDAP。

NetWorker Web 用户界面 (NWUI)：如何配置 AD/LDAP：NetWorker：如何从 NetWorker Web 用户界面
配置 AD 或 LDAP如何配置 AD/LDAP：NetWorker：如何设置 AD/LDAP 身份验证
如何配置安全 AD/LDAP （LDAPS）：NetWorker：如何配置 LDAPS 身份验证
 

需要注意的信息：

1. 详细的问题描述

• 错误消息或显示错误消息的屏幕截图

2. 记下 NetWorker Management Console （NMC） 使用的 AUTHC 服务器。
   1. 在 NMC 服务器上，检查以下文件：

• • • Linux：/opt/lgtonmc/etc/gstd.conf
    • Windows（默认）：C：\Program Files\EMC NetWorker\Management\etc\gstd.conf

1. 2. 确认 authsvc_hostname 是正确的 AUTHC 服务器主机名。

3. 环境详细信息：

• 完整的 NetWorker 服务器版本，包括每个 NetWorker 主机的内部版本号（如果不同）：
  • NetWorker 服务器。
  • AUTHC 服务器（请参阅上面的步骤 2）。
  • NetWorker Management Console （NMC） 服务器。 
    • NetWorker：识别 NetWorker 软件版本的方法
• 每个 NetWorker 主机的作系统版本（如果不同）：
  • NetWorker 服务器。
  • AUTHC 服务器（请参阅上面的步骤 2）。
  • NetWorker Management Console （NMC） 服务器。 
• 正在使用的目录服务：Active Directory 或 LDAP 服务器？
• LDAPS（AD 或 LDAP over SSL）是否正在使用中？

4. 从 Active Directory 或 LDAP 服务器获取属性和对象类。

• 绑定帐户的可分辨名称 （DN）
• 用户和组搜索路径 （DN）
• 用户 ID 属性
• 用户对象类
• 组名称属性
• 组对象类
• 组成员属性

信息收集

1. 如果在初始配置或更新期间出现问题，请确认正在使用以下哪种方法并收集输出：

• 脚本：Linux 和 Windows NetWorker 服务器中都提供了一个模板脚本。当身份验证服务器是 Active Directory 时，将使用 authc-create-ad-config* 脚本;authc-create-ldap-config* 用于 LDAP 服务器。
  • Linux：/opt/nsr/authc-server/scripts/（authc-create-ad-config.sh.template 和 authc-create-ldap-config.sh.template）
  • Windows：C：\Program Files\EMC NetWorker\nsr\authc-server\scripts\（authc-create-ad-config.bat 和 authc-create-ldap-config.bat）
• NMC 或 NWUI：收集在 NMC 的外部机构向导中设置的配置参数的屏幕截图。确保展开“Show advanced options”。收集观察到的错误消息的屏幕截图。 

2. 如果 AD/LDAP 配置成功，但在登录过程中出现问题，请在 NetWorker 服务器上运行以下命令：

authc_config -u Administrator -e find-all-configs 
authc_config -u Administrator -e find-config -D config-id=config-id_from_above_command

• 在以下位置设置了哪些 AD/LDAP 组或用户 DN：
  • NMC：NMC —> 设置 —> 用户和角色 —> NMC 角色：

• NetWorker 服务器：服务器 -> 用户组：

3. NetWorker 是否正确查询 AD/LDAP 组和用户：

authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username

4. 您是否能够在 NMC 外部对 AD/LDAP 用户进行身份验证？在 NetWorker 服务器上运行：

nsrlogin -t tenant_name -d domain_name -u external_username

nsrlogout

额外资源

• NetWorker 安全配置指南： https://www.dell.com/support/product-details/product/networker/docs （必须登录到支持站点才能使用链接）。
• NetWorker：AD 或 LDAP 外部身份验证集成 — 对登录问题或信息缺失问题进行故障处理
• Active Directory 具有一个名为 ADSI Edit 的工具，在其中可以查询 DN、属性和对象类，以及 dsget 和 dsquery 实用程序。
• 在 LDAP 服务器上，使用 ldapsearch 命令或等效工具。
• Microsoft ：使用 PowerShell 获取 AD 用户组成员身份：Get-ADPrincipalGroupMembership

• authc_config选项：

usage: authc_config
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given configuration property.
                                (e.g. -D config-domain=foo or --define
                                config-domain=foo)
                                Available property names:
                                tenant-id, tenant-name, tenant-alias,
                                tenant-details, config-id, config-tenant-id,
                                config-name, config-domain,
                                config-server-address, config-user-dn,
                                config-user-dn-password, config-user-group-attr,
                                config-user-id-attr, config-user-object-class,
                                config-user-search-filter,
                                config-user-search-path,
                                config-group-member-attr,
                                config-group-name-attr,
                                config-group-object-class,
                                config-group-search-filter,
                                config-group-search-path, config-object-class,
                                config-active-directory, config-search-subtree,
                                permission-id, permission-name,
                                permission-group-dn,
                                permission-group-dn-pattern, option-id,
                                option-name, option-value
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-tenants, find-tenant, add-tenant,
                                update-tenant, remove-tenant, find-all-configs,
                                find-config, add-config, update-config,
                                remove-config, find-all-permissions,
                                find-permission, add-permission,
                                update-permission, remove-permission,
                                find-all-options, find-option, add-option,
                                update-option, remove-option,
                                query-api-versions, query-cert-pem,
                                query-cert-pemtext, query-server-info
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.

• authc_mgmt选项：

usage: authc_mgmt
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given management property.
                                (e.g. -D user-name=foo or --define
                                user-name=foo)
                                Available property names:
                                user-id, user-name, user-domain, user-password,
                                user-first-name, user-last-name, user-email,
                                user-details, user-enabled, user-groups (csv
                                format), group-id, group-name, group-details,
                                group-users (csv format), query-tenant,
                                query-domain, password-new-value,
                                user-options-id, user-options-user-id,
                                user-options-password-must-change,
                                user-options-password-never-expires
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-users, find-user, add-user,
                                update-user, remove-user, update-password,
                                find-all-user-options, find-user-options,
                                update-user-options, find-all-groups,
                                find-group, add-group, update-group,
                                remove-group, query-ldap-users,
                                query-ldap-groups, query-ldap-users-for-group,
                                query-ldap-groups-for-user
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.