NetWorker: Integration der externen AD- oder LDAP-Authentifizierung – Troubleshooting von Anmeldeproblemen oder fehlenden Informationen

Summary: In diesem Artikel werden Probleme beschrieben, die durch eine fehlerhafte Integration von AD oder LDAP (Lightweight Directory Access Protocol) mit NetWorker entstehen, und wie Sie diese beheben können. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Anmeldung bei NetWorker-Benutzeroberflächen nicht möglich.
  • nsrlogin Der Befehl schlägt fehl oder gibt Fehler zurück.
  • Die NetWorker-Authentifizierung ist erfolgreich, aber die Benutzeroberflächen stellen Daten nicht korrekt dar.
  • AD- oder LDAP-Abfragen geben keine Ergebnisse zurück.
  • AD oder LDAP gibt unvollständige Antworten zurück.

Cause

Active Directory (AD) oder Lightweight Directory Access Protocol (LDAP) sind Unternehmensimplementierungen der zentral verwalteten, operativ verteilten Netzwerkeinheitsauthentifizierung.

NetWorker kann dieses Protokoll verwenden, um Nutzer zu authentifizieren und Vorgänge zu autorisieren, wodurch die ältere Methode ersetzt wird, die auf einer softwarespezifischen Nutzerkontodatenbank basiert.

Falsche oder fehlende Konfigurationsparameter in NetWorker führen jedoch dazu, dass AD- oder LDAP-Abfragen unvollständige oder gar keine Ergebnisse zurückgeben.

Resolution

Verwenden Sie beim Troubleshooting von AD- oder LDAP-Integrationsproblemen mit NetWorker die authc_config und authc_mgmt Befehle auf dem NetWorker-Server.

Es folgen Beispiele für diese Befehle. Um alle verfügbaren Optionen anzuzeigen, führen Sie jeden Befehl ohne zusätzliche Argumente aus.

So finden und aktualisieren Sie Ihre Konfigurationsdetails.

Führen Sie die folgenden Befehle aus, um Ihre Konfigurationsdetails auszugeben, indem Sie den Nutzernamen und das Kennwort verwenden, die dem aufgetretenen Problem entsprechen:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

HINWEIS: Auf einigen Systemen führt die Angabe von Kennwörtern als Klartext zu einem falschen Kennwortfehler . Führen Sie den Befehl erneut aus, ohne -p password -Argument fordert Sie zur Eingabe des Kennworts auf. Ersetzen Sie # im dritten Befehl durch die Konfigurations-ID, die vom ersten Befehl gemeldet wurde.

Der Mandantenwert und der Name werden in einigen der folgenden Befehle verwendet.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Das obige Beispiel zeigt Konfigurationseinstellungen, die in einer Übungsumgebung mit externer AD-Authentifizierung verwendet werden. Einige der Werte, wie z. B.: Serveradresse, Konfigurationsnutzer und Benutzer- oder Gruppensuchpfade, sind für jede Umgebung spezifisch. Die anderen Werte sind jedoch AD-Standardattribute.
 
Um falsche Werte zu korrigieren, aktualisieren Sie die externe Autoritätsressource über die NetWorker Management Console (NMC) oder die NetWorker Web User Interface (NWUI):
 
Optional können die Skriptvorlagen verwendet werden:
 
Windows: C:\Programme\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/skripte/
 
Füllen Sie die Skripte mit Ihren Informationen aus und ändern Sie die -e add-config Befehlsargument für -e update-configaus.
NetWorker: Einrichten von LDAP/AD mithilfe der authc_config-Skripte
 
HINWEIS: Verwenden Sie für AD die authc-create-ad-config und für LDAP verwenden Sie die authc-create-ldap-config Skriptvorlage. Entfernen Sie nach dem Ausfüllen die .template aus dem Dateinamen und führen Sie das Skript über eine Administrator- oder Stammeingabeaufforderung aus.

Ausgabe 1: Falsches Konfigurations-Nutzer-ID-Attribut

Ein falscher Wert in diesem Feld führt bei der Abfrage von AD- oder LDAP-Nutzern zu einer leeren Spalte "User Name ". In dieser Spalte wird angezeigt, wie der Nutzername für die Anmeldung angegeben wird. Das Konto wird als ungültig gemeldet, wenn der Wert nicht angegeben wird. Um diese Werte abzurufen, führen Sie Folgendes aus:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
HINWEIS: Die Spalte User Name ist leer. Die eindeutige Nutzer-ID, die dem Nutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnetist, ist normalerweise uid (LDAP) oder sAMAccountName (AD). Wenn Sie diesen Wert in der Konfiguration aktualisieren, wird der Nutzername korrigiert, der in der Spalte "User Name " angezeigt wird. 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problem 2: Konfigurationsnutzerobjektklasse leer oder falsch.

Ein falscher Wert in diesem Feld führt dazu, dass bei der Abfrage von AD- oder LDAP-Nutzern keine Ergebnisse zurückgegeben werden. Verwenden Sie diese Befehle, um auf dieses Symptom und die Ursache zu testen:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Das Attribut für die Objektklasse, das die Nutzer in der Verzeichnishierarchie identifiziert, ist normalerweise "inetOrgPerson" (LDAP) oder "User (AD"). 

Aktualisieren Sie die Konfiguration mit diesen Werten, und testen Sie, ob der Nutzername und der DN (Distinguished Names) ordnungsgemäß gemeldet werden: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Ein falscher Konfigurationsnutzersuchpfad ist eine weitere mögliche Ursache für das Fehlen von Nutzern. Dies ist ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Nutzern in der LDAP- oder AD-Hierarchie verwenden soll. Geben Sie einen Suchpfad an, der sich auf den Basis-DN bezieht, der in der Option config-serveraddress angegeben ist. Geben Sie beispielsweise für AD cn=users an. Lassen Sie sich von Ihrem Verzeichnisadministrator bestätigen, dass dieses Feld korrekt ist.
 

Problem 3: Attribut für Konfigurationsgruppennameist leer oder falsch.

Ein falscher Wert in diesem Feld führt zu einer leeren Gruppennamenspalte , wenn AD- oder LDAP-Gruppen für einen Nutzer abgefragt werden. Mit den folgenden Befehlen wird nach Symptom und Ursache gesucht:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Das Attribut, das den Gruppennamen identifiziert (z. B. cn), fehlt. Aktualisieren Sie die Konfiguration mit diesen Werten und stellen Sie sicher, dass die Gruppennamen jetzt in der Spalte Gruppenname aufgeführt werden. 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problem 4: Konfigurationsgruppenobjektklasse ist leer oder falsch

Ein falscher Wert in diesem Feld führt dazu, dass bei der Abfrage von AD- oder LDAP-Gruppen für einen Nutzer keine Ergebnisse zurückgegeben werden. Verwenden Sie diese Befehle, um auf Symptome und Ursachen zu testen:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Das Objektklassenattribut, das Gruppen in der Verzeichnishierarchie identifiziert, ist groupOfUniqueNames (LDAP) oder groupOfNames (AD). Verwenden Sie für ADgroup
 
Aktualisieren Sie die Konfiguration mit diesen Werten. Es sollten nun Gruppennamen und Gruppen-DNs aufgelistet werden: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Andere mögliche Ursachen dafür, dass Gruppen nicht angezeigt werden, sind:
  1. Der AD-Nutzer, der im Feld authc_mgmt Der Befehl ist kein Mitglied einer AD-Gruppe. Testen Sie andere Nutzernamen und wenden Sie sich an Ihren AD-Administrator, um die Mitgliedschaft als Nutzer oder Gruppe zu bestätigen.
  2. Der Wert für den Konfigurationsgruppensuchpfad ist falsch. Dies ist ein DN, der den Suchpfad angibt, den der Authentifizierungsservice bei der Suche nach Gruppen in der Verzeichnishierarchie verwenden sollte. Geben Sie einen Suchpfad an, der relativ zum Basis-DN ist, den Sie in der Option config-server-address angegeben haben.

Additional Information

NetWorker: AD- und LDAP-Integration und -Konfiguration – Triage-Handbuch

Methoden zur detaillierten Konfiguration von AD, LDAP, LDAPS mit NetWorker:

Weitere Dokumentation finden Sie im NetWorker-Sicherheitskonfigurationsleitfaden, der verfügbar ist unter: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.