NetWorker:ADまたはLDAP外部認証の統合 - ログインまたは情報の欠落に関する問題のトラブルシューティング
Summary: この記事では、ADまたはLightweight Directory Access Protocol (LDAP)とNetWorkerとの統合が正しくないことによって発生する問題と、その解決方法について説明します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- NetWorkerユーザー インターフェイスにログインできません。
nsrloginコマンドが失敗するか、エラーが返されます。- NetWorkerの認証は成功しますが、UIにデータが正しく表示されません。
- ADまたはLDAPクエリーは結果を返しません。
- ADまたはLDAPが不完全な応答を返す。
Cause
Active Directory (AD)またはLightweight Directory Access Protocol (LDAP)は、一元管理され、運用上分散されたネットワーク エンティティ認証のエンタープライズ実装です。
NetWorkerは、このプロトコルを使用してユーザーを認証し、操作を許可し、ソフトウェア固有のユーザー アカウント データベースに基づく古い方法を置き換えます。
ただし、NetWorkerの構成パラメーターが正しくないか欠落している場合、ADまたはLDAPクエリーは不完全な結果を返すか、まったく返しません。
Resolution
NetWorkerとのADまたはLDAP統合の問題をトラブルシューティングする場合は、 authc_config と authc_mgmt コマンドをNetWorkerサーバで実行します。
これらのコマンドの例を次に示します。使用可能なすべてのオプションを表示するには、各コマンドを追加の引数なしで実行します。
構成の詳細を確認および更新する方法。
発生した問題に対応するユーザー名とパスワードを使用して、次のコマンドを実行して構成の詳細を出力します。
authc_config -u Administrator -p 'password' -e find-all-configsauthc_config -u Administrator -p 'password' -e find-all-tenantsauthc_config -u Administrator -p 'password' -e find-config -D config-id=#
メモ: 一部のシステムでは、パスワードをプレーンテキストとして指定すると、 間違ったパスワード エラーになります。コマンドを
-p password 引数はパスワードの入力を求めます。3 番目のコマンドの # を、最初のコマンドで報告された config-id に置き換えます。
テナントの値と名前は、次のコマンドの一部で使用されます。
[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs Enter password: The query returns 1 records. Config Id Config Name 1 lab [root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants Enter password: The query returns 1 records. Tenant Id Tenant Name 1 default [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 Enter password: Config Id : 1 Config Tenant Id : 1 Config Name : lab Config Domain : lab Config Server Address : ldap://winldap.lab.loc:389/DC=lab,DC=loc Config User DN : CN=Administrator,CN=Users,DC=lab,DC=loc Config User Group Attribute : memberOf Config User ID Attribute : sAMAccountName Config User Object Class : user Config User Search Filter : Config User Search Path : CN=Users Config Group Member Attribute: member Config Group Name Attribute : cn Config Group Object Class : group Config Group Search Filter : Config Group Search Path : CN=NetWorker Admins Config Object Class : objectClass Is Active Directory : true Config Search Subtree : true
上記の例は、外部AD認証を使用する実習環境で使用される構成設定を示しています。サーバー アドレス、構成ユーザー、ユーザーまたはグループの検索パスなどの一部の値は、各環境に固有です。ただし、その他の値はデフォルトのAD属性です。
誤った値を修正するには、NMC(NetWorker管理コンソール)またはNWUI(NetWorker Webユーザー インターフェイス)から外部認証機関リソースを更新します。
必要に応じて、スクリプト テンプレートを使用できます。
Windowsの場合:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
Linux: /opt/nsr/authc-server/scripts/
スクリプトに情報を入力し、
NetWorker: authc_configスクリプトを使用してLDAP/ADをセットアップする方法
-e add-config command 引数を -e update-config.
NetWorker: authc_configスクリプトを使用してLDAP/ADをセットアップする方法
メモ: ADの場合は、
authc-create-ad-config LDAPの場合は、 authc-create-ldap-config スクリプト テンプレート。設定が完了したら、 .template をクリックし、管理者またはrootコマンド プロンプトからスクリプトを実行します。
問題1: 不正な構成ユーザーID属性
このフィールドの値が正しくないと、ADまたはLDAPユーザーのクエリー時に 、[User Name ]列が空になります。この列には、ユーザー名をログインに指定する方法が表示されます。値が指定されていない場合、アカウントは無効として報告されます。これらの値を取得するには、次のコマンドを実行します。
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute :
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
cn=Administrator,cn=Users,dc=lab,dc=loc
cn=Guest,cn=Users,dc=lab,dc=loc
cn=krbtgt,cn=Users,dc=lab,dc=loc
...
メモ: User Name列は空白です。LDAPまたはAD階層内のユーザー オブジェクトに関連づけられている一意のユーザーIDは、通常、uid(LDAP)またはsAMAccountName(AD)です。構成でこの値を更新すると、[ User Name ]列で報告されるユーザー名が修正されます。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute : sAMAccountName
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
2.ユーザー オブジェクト クラスの構成が空であるか、正しくありません。
このフィールドの値が正しくないと、ADまたはLDAPユーザーへのクエリー時に結果が返されません。次のコマンドを使用して、この現象と原因をテストします。
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_IDauthc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class :
ディレクトリー階層内のユーザーを識別するオブジェクト クラスの属性は、通常、inetOrgPerson(LDAP)またはuser(AD)です。
次の値を使用して構成を更新し、ユーザー名と識別名(DN)が正しく報告されていることを確認するためにテストします。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class : user
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
ユーザーが見つからないもう1つの潜在的な原因は、 誤った構成ユーザー検索パス です。これは、LDAPまたはAD階層でユーザーを検索するときに認証サービスが使用する検索パスを指定するDNです。config-serveraddressオプションで指定したベースDNに対する相対的な検索パスを指定します。たとえば、ADの場合は、cn=usersを指定します。このフィールドが正しいことをディレクトリ管理者に確認してください。
3.構成グループ名属性が空であるか、正しくありません。
このフィールドの値が正しくないと、ユーザーのADまたはLDAPグループをクエリーするときに 、[Group Name ]列が空になります。次のコマンドは、症状と原因をチェックします。
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
cn=NetWorker Admins,dc=lab,dc=loc
グループ名を識別する属性( cnなど)がありません。これらの値で構成を更新し、グループ 名 列のグループ名が表示されていることを確認します。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute : cn
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
4.構成グループ オブジェクト クラスが 空であるか、正しくありません
このフィールドの値が正しくないと、ユーザーのADまたはLDAPグループをクエリーしたときに結果が返されません。次のコマンドを使用して、症状と原因をテストします。
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name
Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
...
Config Group Object Class :
...
ディレクトリー階層内のグループを識別するオブジェクト クラス属性は、 groupOfUniqueNames (LDAP)または groupOfNames (AD)です。ADの場合は、groupを使用します。
次の値で設定を更新すると、グループ名とグループDNが一覧表示されます。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class : group
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
グループが表示されない場合のその他の潜在的な原因は次のとおりです。
- で指定されたADユーザー
authc_mgmtコマンドはADグループのメンバーではありません。他のユーザー名をテストし、AD管理者に確認して、ユーザーまたはグループのメンバーシップを確認します。 - Config Group Search Pathの値が正しくありません。これは、認証サービスがディレクトリ階層内のグループを検索するときに使用する検索パスを指定するDNです。config-server-addressオプションで指定したベースDNに対する相対的な検索パスを指定します。
Additional Information
NetWorker:ADおよびLDAPの統合と構成トリアージ ガイド
NetWorkerでAD、LDAP、LDAPSを構成する方法を詳しく説明します。
- NetWorker NWUI:NetWorker Webユーザー インターフェイスからAD/LDAPを設定する方法
- NetWorker NMC:NetWorker Management ConsoleからAD/LDAPを設定する方法
- NetWorker:authc_configスクリプトを使用してAD/LDAPを設定する方法
- NetWorker:LDAPS認証を設定する方法。
その他のドキュメントについては、https://www.dell.com/support/home/product-support/product/networker/docs から入手できる『NetWorkerセキュリティ構成ガイド』を参照してください。
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.