NetWorker: Integrazione dell'autenticazione esterna AD o LDAP - Risoluzione dei problemi di accesso o delle informazioni mancanti

Summary: Questo articolo illustra i problemi derivanti da un'integrazione errata di AD o LDAP (Lightweight Directory Access Protocol) con NetWorker e come risolverli.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Impossibile accedere alle interfacce utente di NetWorker.
  • nsrlogin Il comando ha esito negativo o restituisce errori.
  • L'autenticazione di NetWorker ha esito positivo, ma le interfacce utente non presentano correttamente i dati.
  • Le query AD o LDAP non restituiscono risultati.
  • AD o LDAP restituisce risposte incomplete.

Cause

Active Directory (AD) o LDAP (Lightweight Directory Access Protocol) sono implementazioni aziendali dell'autenticazione dell'entità di rete gestita a livello centrale e distribuita a livello operativo.

NetWorker può utilizzare questo protocollo per autenticare gli utenti e autorizzare le operazioni, sostituendo il metodo precedente basato su un database di account utente specifico del software.

Tuttavia, parametri di configurazione errati o mancanti in NetWorker fanno sì che le query AD o LDAP restituiscano risultati incompleti o non ne restituiscano affatto.

Resolution

Per la risoluzione dei problemi di integrazione di AD o LDAP con NetWorker, utilizzare il comando authc_config e authc_mgmt sul server NetWorker.

Di seguito sono riportati alcuni esempi di questi comandi. Per visualizzare tutte le opzioni disponibili, eseguire ogni comando senza argomenti aggiuntivi.

Come trovare e aggiornare i dettagli di configurazione.

Eseguire i seguenti comandi per visualizzare i dettagli di configurazione, utilizzando il nome utente e la password appropriati per il problema riscontrato:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

NOTA: In alcuni sistemi, se si specificano password come testo normale, si riceve un errore di password errata . Eseguire nuovamente il comando senza -p password L'argomento richiede di immettere la password. Sostituire il simbolo # nel terzo comando con il valore config-id riportato dal primo comando.

Il valore e il nome del tenant vengono utilizzati in alcuni dei seguenti comandi.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
L'esempio precedente mostra le impostazioni di configurazione utilizzate in un ambiente di laboratorio funzionante con autenticazione AD esterna. Alcuni dei valori come: indirizzo del server, utente di configurazione e percorsi di ricerca di utenti o gruppi sono specifici per ogni ambiente; tuttavia, gli altri valori sono attributi AD predefiniti.
 
Per correggere eventuali valori errati, aggiornare la risorsa dell'autorità esterna da NetWorker Management Console (NMC) o NetWorker Web User Interface (NWUI):
 
Facoltativamente, è possibile utilizzare i modelli di script:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Inserire gli script con le informazioni dell'utente e modificare il campo -e add-config argomento del comando per -e update-config.
NetWorker: come configurare LDAP/AD utilizzando gli script authc_config
 
NOTA: per AD utilizzare il comando authc-create-ad-config e per LDAP utilizzare il metodo authc-create-ldap-config Modello di copione. Una volta popolato, rimuovere il .template dal nome del file ed eseguire lo script da un prompt dei comandi amministrativo o radice.

Problema 1: Attributo ID utente di configurazione errato

Un valore errato in questo campo genera una colonna Nome utente vuota quando si esegue una query per gli utenti AD o LDAP. In questa colonna viene visualizzato il modo in cui viene specificato il nome utente per l'accesso. L'account viene segnalato come non valido se il valore non è specificato. Per recuperare questi valori, eseguire:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
NOTA: La colonna Nome utente è vuota. L'ID utente univoco associato all'oggetto utente nella gerarchia LDAP o ADè in genere uid (LDAP) o sAMAccountName (AD). L'aggiornamento di questo valore nella configurazione corregge il nome utente riportato nella colonna User Name . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problema 2: Classe oggetto Config User vuota o errata.

Un valore errato in questo campo causa l'assenza di risultati quando si esegue una query sugli utenti AD o LDAP. Utilizzare questi comandi per verificare il sintomo e la causa:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
L'attributo per la classe oggetto che identifica gli utenti nella gerarchia didirectory è in genere inetOrgPerson (LDAP) o user (AD). 

Aggiornare la configurazione con questi valori e verificare che il nome utente e i nomi distinti (DN) siano segnalati correttamente: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Il percorso di ricerca utente della configurazione errato è un'altra potenziale causa della mancanza di utenti. Si tratta di un nome distinto che specifica il percorso di ricerca che il servizio di autenticazione deve utilizzare per la ricerca di utenti nella gerarchia LDAP o AD. Specificare un percorso di ricerca relativo al DN di base specificato nell'opzione config-serveraddress . Ad esempio, per AD specificare cn=users. Verificare con l'amministratore di directory che questo campo sia corretto.
 

Problema 3: L'attributo Nome gruppo di configurazioneè vuoto o errato.

Un valore errato in questo campo genera una colonna Group Name vuota quando si esegue una query per gruppi AD o LDAP per un utente. I seguenti comandi verificano il sintomo e la causa:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
L'attributo che identifica il nome del gruppo (ad esempio cn) è mancante. Aggiornare la configurazione con questi valori e assicurarsi che i nomi dei gruppi siano ora elencati nella colonna Group Name . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problema 4: La classe di oggetti del gruppo Config è vuota o errata

Un valore errato in questo campo causa l'assenza di risultati quando si esegue una query sui gruppi AD o LDAP per un utente. Utilizzare questi comandi per verificare il sintomo e la causa:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
L'attributo della classe oggetto che identifica i gruppi nella gerarchia di directory è groupOfUniqueNames (LDAP) o groupOfNames (AD). Per AD, utilizzare group
 
Aggiornare la configurazione con questi valori; ora dovrebbero essere visualizzati i nomi dei gruppi e i DN dei gruppi elencati: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Altre potenziali cause per la mancata visualizzazione dei gruppi sono:
  1. L'utente AD specificato nell'attributo authc_mgmt non è membro di un gruppo AD. Testare altri nomi utente e verificare con l'amministratore AD l'appartenenza a un utente o a un gruppo.
  2. Il valore Config Group Search Path non è corretto. Si tratta di un nome di dominio che specifica il percorso di ricerca che il servizio di autenticazione deve utilizzare per la ricerca di gruppi nella gerarchia di directory. Specificare un percorso di ricerca relativo al DN di base specificato nell'opzione config-server-address .

Additional Information

NetWorker: Guida al triage per l'integrazione e la configurazione di AD e LDAP

Metodi che descrivono in dettaglio come configurare AD, LDAP e LDAPS con NetWorker:

Per ulteriore documentazione, consultare la Guida alla configurazione della sicurezza di NetWorker disponibile all'indirizzo: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.