NetWorker: Integración de autenticación externa AD o LDAP: solución de problemas de inicio de sesión o falta de información

Summary: En este artículo, se analizan los problemas derivados de la integración incorrecta de AD o del protocolo ligero de acceso a directorios (LDAP) con NetWorker y cómo resolverlos.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • No se puede iniciar sesión en las interfaces de usuario de NetWorker.
  • nsrlogin El comando falla o devuelve errores.
  • La autenticación de NetWorker se realiza correctamente, pero las interfaces de usuario no presentan los datos correctamente.
  • Las consultas de AD o LDAP no devuelven resultados.
  • AD o LDAP devuelve respuestas incompletas.

Cause

Active Directory (AD) o el protocolo ligero de acceso a directorios (LDAP) son implementaciones empresariales de autenticación de entidades de red distribuidas operacionalmente y administradas de forma centralizada.

NetWorker puede usar este protocolo para autenticar usuarios y autorizar operaciones, lo que reemplaza el método anterior basado en una base de datos de cuentas de usuario específica del software.

Sin embargo, parámetros de configuración incorrectos o faltantes en NetWorker hacen que las consultas de AD o LDAP devuelvan resultados incompletos o ninguno.

Resolution

Cuando solucione problemas de integración de AD o LDAP con NetWorker, utilice authc_config y authc_mgmt comandos en NetWorker Server.

A continuación se muestran ejemplos de estos comandos. Para ver todas las opciones disponibles, ejecute cada comando sin argumentos adicionales.

Cómo encontrar y actualizar los detalles de configuración.

Ejecute los siguientes comandos para generar detalles de configuración con el nombre de usuario y la contraseña correspondientes al problema encontrado:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

NOTA: En algunos sistemas, la especificación de contraseñas como texto sin formato genera un error de contraseña incorrecta . Vuelva a ejecutar el comando sin el comando -p password solicita ingresar la contraseña. Reemplace el # en el tercer comando con el config-id informado por el primer comando.

El valor y el nombre del grupo de usuarios se utilizan en algunos de los siguientes comandos.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
En el ejemplo anterior se muestran los ajustes de configuración que se utilizan en un entorno de laboratorio de trabajo con autenticación de AD externa. Algunos de los valores, como la dirección del servidor, el usuario de configuración y las rutas de búsqueda de usuarios o grupos, son específicos de cada entorno; sin embargo, los otros valores son atributos predeterminados de AD.
 
Para corregir los valores incorrectos, actualice el recurso de autoridad externa desde NetWorker Management Console (NMC) o la interfaz de usuario web de NetWorker (NWUI):
 
De manera opcional, se pueden utilizar las plantillas de script:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Complete los scripts con su información y cambie el -e add-config command a -e update-config.
NetWorker: Cómo configurar LDAP/AD mediante scripts authc_config
 
NOTA: Para AD, utilice el comando authc-create-ad-config y para LDAP, utilice el comando authc-create-ldap-config Plantilla de script. Una vez completado, quite el .template desde el nombre de archivo y ejecute el script desde un símbolo del sistema raíz o administrativo.

Problema 1: Atributo de ID de usuario de configuración incorrecto

Un valor incorrecto en este campo da como resultado una columna de nombre de usuario vacía cuando se consultan usuarios de AD o LDAP. En esta columna, se muestra cómo se especifica el nombre de usuario para el inicio de sesión. La cuenta se informa como no válida si no se especifica el valor. Para recuperar estos valores, ejecute lo siguiente:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
NOTA: La columna User Name está en blanco. El ID de usuario único asociado con el objeto de usuario en la jerarquía de LDAP o ADsuele ser uid (LDAP) o sAMAccountName (AD). La actualización de este valor en la configuración corrige el nombre de usuario que se informa en la columna User Name . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problema 2: La clase de objeto de usuario de configuración está vacía o es incorrecta.

Un valor incorrecto en este campo hace que no se devuelvan resultados cuando se consultan usuarios de AD o LDAP. Utilice estos comandos para probar este síntoma y la causa:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
El atributo para la clase de objeto que identifica a los usuarios en la jerarquía de directoriossuele ser inetOrgPerson (LDAP) o user (AD). 

Actualice la configuración con estos valores y pruebe para asegurarse de que el nombre de usuario y los nombres distintivos (DN) se informan correctamente: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
La ruta de búsqueda de usuario de configuración incorrecta es otra causa potencial de falta de usuarios. Este es un DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación al buscar usuarios en la jerarquía de LDAP o AD. Especifique una ruta de búsqueda que sea relativa al DN base especificado en la opción config-serveraddress . Por ejemplo, para AD, especifique cn=users. Confirme con el administrador de directorios que este campo es correcto.
 

Problema 3: El atributo Config Group Nameestá vacío o es incorrecto.

Un valor incorrecto en este campo da como resultado una columna de nombre de grupo vacía cuando se consultan grupos de AD o LDAP para un usuario. Los siguientes comandos buscan síntomas y causas:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Falta el atributo que identifica el nombre del grupo (por ejemplo, cn). Actualice la configuración con estos valores y asegúrese de que los nombres de grupo ahora aparezcan en la columna Group Name . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problema 4: La clase de objeto del grupo de configuración está vacía o es incorrecta

Un valor incorrecto en este campo hace que no se muestren resultados cuando se consultan grupos de AD o LDAP para un usuario. Utilice estos comandos para probar el síntoma y la causa:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
El atributo de clase de objeto que identifica a los grupos en la jerarquía de directorios es groupOfUniqueNames (LDAP) o groupOfNames (AD). Para AD, use group
 
Actualice la configuración con estos valores; ahora debería ver los nombres de grupo y los DN de grupo enumerados: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Otras posibles causas por las que los grupos no aparecen son:
  1. El usuario de AD que se especifica en el archivo authc_mgmt no es miembro de un grupo de AD. Pruebe otros nombres de usuario y consulte con su administrador de AD para confirmar la membresía de usuario o grupo.
  2. El valor de Ruta de búsqueda de grupo de configuración es incorrecto. Este es un DN que especifica la ruta de búsqueda que debe usar el servicio de autenticación al buscar grupos en la jerarquía de directorios. Especifique una ruta de búsqueda que esté relacionada con el DN base que especificó en la opción config-server-address .

Additional Information

NetWorker: Guía de triage de configuración e integración de AD y LDAP

Métodos que detallan cómo configurar AD, LDAPS y LDAPS con NetWorker:

Para obtener documentación adicional, consulte la Guía de configuración de seguridad de NetWorker, disponible a través de: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.