NetWorker: Ulkoisen AD- tai LDAP-todennuksen integrointi – Kirjautumiseen tai puuttuviin tietoihin liittyvien ongelmien vianmääritys

Summary: Tässä artikkelissa käsitellään ongelmia, jotka johtuvat virheellisestä AD- tai LDAP (Lightweight Directory Access Protocol) -integroinnista NetWorkerin kanssa, sekä niiden ratkaisemista. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • NetWorker-käyttöliittymiin kirjautuminen ei onnistu.
  • nsrlogin Komento epäonnistuu tai palauttaa virheitä.
  • NetWorker-todennus onnistuu, mutta käyttöliittymät eivät esitä tietoja oikein.
  • AD- tai LDAP-kyselyt eivät palauta tuloksia.
  • AD tai LDAP palauttaa puutteelliset vastaukset.

Cause

Active Directory (AD) tai LDAP (Lightweight Directory Access Protocol) ovat keskitetysti hallitun, toiminnallisesti hajautetun verkkoentiteettitodennuksen yritystoteutuksia.

NetWorker voi käyttää tätä protokollaa käyttäjien todentamiseen ja toimintojen valtuuttamiseen korvaten vanhan menetelmän, joka perustuu ohjelmistokohtaiseen käyttäjätilitietokantaan.

NetWorkerin virheelliset tai puuttuvat määritysparametrit aiheuttavat kuitenkin sen, että AD- tai LDAP-kyselyt palauttavat epätäydellisiä tuloksia tai eivät lainkaan tuloksia.

Resolution

Kun suoritat AD- tai LDAP-integrointiongelmien vianmääritystä NetWorkerin kanssa, käytä authc_config ja authc_mgmt NetWorker-palvelimen komennot.

Seuraavassa on esimerkkejä näistä komennoista. Jos haluat nähdä kaikki käytettävissä olevat vaihtoehdot, suorita kukin komento ilman lisäargumentteja.

Määritystietojen etsiminen ja päivittäminen.

Tulosta määritystiedot seuraavilla komennoilla ongelman edellyttämällä käyttäjänimellä ja salasanalla:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

HUOMAUTUS: Joissakin järjestelmissä salasanojen määrittäminen pelkkänä tekstinä johtaa virheelliseen salasanavirheeseen . Suorita komento uudelleen ilman -p password argumentti kehottaa antamaan salasanan. Korvaa kolmannen komennon #-merkki ensimmäisen komennon ilmoittamalla config-id-tunnuksella .

Vuokraajan arvoa ja nimeä käytetään joissakin seuraavista komennoista.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Yllä olevassa esimerkissä näkyvät määritysasetukset, joita käytetään työskentelylaboratorioympäristössä, jossa on ulkoinen AD-todennus. Jotkin arvot, kuten: palvelimen osoite, määrityskäyttäjä ja käyttäjän tai ryhmän hakupolut, ovat ympäristökohtaisia; muut arvot ovat kuitenkin oletusarvoisia AD-määritteitä.
 
Voit korjata virheelliset arvot päivittämällä ulkoisen viranomaisen resurssin NetWorker Management Consolesta (NMC) tai NetWorker Web User Interfacesta (NWUI):
 
Vaihtoehtoisesti komentosarjamalleja voidaan käyttää:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-palvelin/komentosarjat/
 
Lisää tietosi komentosarjoihin ja muuta -e add-config komentoargumentti kohteeseen -e update-config.
Verkkotyöntekijä: LDAP:n/AD:n määrittäminen authc_config-skriptien avulla
 
HUOMAUTUS: AD:ssä käytä authc-create-ad-config ja LDAP: ssä käytä authc-create-ldap-config skriptimalli. Kun olet täyttänyt, poista .template tiedostonimestä ja suorita komentosarja järjestelmänvalvojan tai pääkäyttäjän komentokehotteessa.

Ongelma 1: Virheellinen määritys User ID -määrite

Tämän kentän virheellinen arvo johtaa tyhjään Käyttäjänimi-sarakkeeseen , kun tehdään kyselyjä AD- tai LDAP-käyttäjille. Tässä sarakkeessa näkyy, miten käyttäjänimi on määritetty kirjautumista varten. Tili ilmoitetaan virheelliseksi, jos arvoa ei ole määritetty. Voit hakea nämä arvot suorittamalla komennon

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
HUOMAUTUS: Käyttäjänimi-sarake on tyhjä. LDAP- tai AD-hierarkiassa käyttäjäobjektiin liittyvä yksilöllinen käyttäjätunnuson yleensä uid (LDAP) tai sAMAccountName (AD). Tämän arvon päivittäminen määrityksessä korjaa käyttäjänimen , joka ilmoitetaan Käyttäjänimi-sarakkeessa. 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Aihe 2: Määritä käyttäjäobjektiluokka tyhjäksi tai virheelliseksi.

Jos tämän kentän arvo on virheellinen, tuloksia ei palauteta, kun kysellään AD- tai LDAP-käyttäjiltä. Testaa tämä oire ja syy näillä komennoilla:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Hakemistohierarkian käyttäjät tunnistavan objektiluokan attribuuttion yleensä inetOrgPerson (LDAP) tai user (AD). 

Päivitä kokoonpanoon nämä arvot ja testaa, että käyttäjätunnus ja yksilöivät nimet (DN) ilmoitetaan oikein: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Virheellinen määrityskäyttäjän hakupolku on toinen mahdollinen syy käyttäjien puuttumiseen. Tämä on DN, joka määrittää hakupolun, jota autentikointipalvelu käyttää etsiessään käyttäjiä LDAP- tai AD-hierarkiasta. Määritä hakupolku, joka on suhteessa config-serveraddress-vaihtoehdossamääritettyyn DN-perusnumeroon. Määritä esimerkiksi AD:lle cn=users. Varmista hakemiston ylläpitäjältä, että tämä kenttä on oikein.
 

Aihe 3: Config Group Name -määriteon tyhjä tai virheellinen.

Tämän kentän virheellinen arvo johtaa tyhjään Ryhmän nimi -sarakkeeseen, kun käyttäjälle tehdään AD- tai LDAP-ryhmien kysely. Seuraavat komennot tarkistavat oireen ja syyn:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Ryhmän nimen yksilöivä määrite (kuten cn) puuttuu. Päivitä kokoonpanoon nämä arvot ja varmista, että ryhmien nimet näkyvät nyt Ryhmän nimi -sarakkeessa. 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Aihe 4: Määritä ryhmän objektiluokka on tyhjä tai virheellinen

Jos tämän kentän arvo on virheellinen, tuloksia ei palauteta, kun käyttäjälle tehdään kysely AD- tai LDAP-ryhmistä. Testaa oire ja syy näillä komennoilla:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Objektiluokan määrite, joka tunnistaa hakemistohierarkian ryhmät, on groupOfUniqueNames (LDAP) tai groupOfNames (AD). Käytä AD:lle ryhmää
 
Päivitä kokoonpano näillä arvoilla, niin ryhmien nimet ja DN:t pitäisi näkyä luettelossa: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Muita mahdollisia syitä ryhmien näkymättömyyteen ovat:
  1. AD-käyttäjä, joka on määritetty kohdassa authc_mgmt komento ei ole AD-ryhmän jäsen. Testaa muita käyttäjänimiä ja varmista AD-järjestelmänvalvojalta käyttäjän tai ryhmän jäsenyys.
  2. Config Group Search Path -arvo on virheellinen. Tämä on DN, joka määrittää hakupolun, jota todennuspalvelu käyttää etsiessään ryhmiä hakemistohierarkiasta. Määritä hakupolku, joka on suhteessa config-server-address-asetuksessa määritettyyn DN-perusnumeroon.

Additional Information

NetWorker: AD- ja LDAP-integrointi- ja määritystriage-opas

Menetelmät, joilla kuvataan yksityiskohtaisesti AD: n, LDAP: n ja LDAPS: n määrittäminen NetWorkerin kanssa:

Lisätietoja on NetWorker Security Configuration Guide -oppaassa osoitteessa https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.