NetWorker: AD eller LDAP External Authentication Integration – Feilsøke problemer med pålogging eller manglende informasjon

Summary: Denne artikkelen drøfter problemer som oppstår som følge av feil AD eller Lightweight Directory Access Protocol (LDAP)-integrasjon med NetWorker, og hvordan du løser dem.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Kan ikke logge på NetWorker-brukergrensesnittene.
  • nsrlogin Kommandoen mislykkes eller returnerer feil.
  • NetWorker-godkjenning lykkes, men brukergrensesnittet presenterer ikke dataene på riktig måte.
  • AD- eller LDAP-spørringer returnerer ingen resultater.
  • AD eller LDAP returnerer ufullstendige svar.

Cause

Active Directory (AD) eller Lightweight Directory Access Protocol (LDAP) er bedriftsimplementeringer av sentralt administrert, driftsdistribuert godkjenning av nettverksenheter.

NetWorker kan bruke denne protokollen til å autentisere brukere og godkjenne operasjoner, og erstatte den eldre metoden basert på en programvarespesifikk brukerkontodatabase.

Feil eller manglende konfigurasjonsparametere i NetWorker fører imidlertid til at AD- eller LDAP-spørringer returnerer ufullstendige resultater, eller ingen i det hele tatt.

Resolution

Når du feilsøker AD- eller LDAP-integreringsproblemer med NetWorker, bruker du authc_config og authc_mgmt -kommandoer på NetWorker-serveren.

Eksempler på disse kommandoene følger. Hvis du vil se alle tilgjengelige alternativer, kjører du hver kommando uten ekstra argumenter.

Slik finner og oppdaterer du konfigurasjonsdetaljene.

Kjør følgende kommandoer for å sende inn konfigurasjonsinformasjonen ved hjelp av brukernavnet og passordet som passer til problemet som oppstår:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

MERK: På noen systemer fører angivelse av passord som ren tekst til feil passordfeil . Kjør kommandoen på nytt uten -p password Argumentet ber om å skrive inn passordet. Erstatt # i den tredje kommandoen med config-id som ble rapportert av den første kommandoen.

Leierverdien og -navnet brukes i noen av følgende kommandoer.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Eksemplet ovenfor viser konfigurasjonsinnstillinger som brukes i et fungerende laboratoriemiljø med ekstern AD-godkjenning. Noen av verdiene, for eksempel: serveradresse, konfigurasjonsbruker og bruker- eller gruppesøkebaner, er spesifikke for hvert miljø. De andre verdiene er imidlertid standard AD-attributter.
 
For å reparere eventuelle feil verdier, oppdater den eksterne autoritetsressursen fra NetWorker Management Console (NMC) eller NetWorker Web User Interface (NWUI):
 
Eventuelt kan skriptmalene brukes:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Fyll skriptene med informasjonen din, og endre -e add-config kommandoargument til -e update-config.
NetWorker: Slik konfigurerer du LDAP/AD ved hjelp av authc_config-skript
 
MERK: for AD bruker du authc-create-ad-config og for LDAP bruker du authc-create-ldap-config skriptmal. Når du er fylt ut, fjerner du .template fra filnavnet, og kjør skriptet fra en administrasjons- eller rotledetekst.

Utgave 1: Feil konfigurasjon av bruker-ID-attributt

En feil verdi i dette feltet resulterer i en tom brukernavnkolonne ved spørring etter AD- eller LDAP-brukere. Denne kolonnen viser hvordan brukernavnet er angitt for pålogging. Kontoen rapporteres som ugyldig hvis verdien ikke er angitt. Hvis du vil hente disse verdiene, kjører du følgende:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
MERK: Brukernavn-kolonnen er tom. Den unike bruker-ID-en somer knyttet til brukerobjektet i LDAP- eller AD-hierarkiet, er vanligvis uid (LDAP) eller sAMAccountName (AD). Hvis du oppdaterer denne verdien i konfigurasjonen, korrigeres brukernavnet som rapporteres i Brukernavn-kolonnen . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problem 2: Config User Object Class tom eller feil.

En feil verdi i dette feltet fører til at ingen resultater returneres ved spørring av AD- eller LDAP-brukere. Bruk disse kommandoene til å teste for dette symptomet og årsaken:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Attributtet for objektklassen som identifiserer brukerne i kataloghierarkiet,er vanligvis inetOrgPerson (LDAP) eller user (AD). 

Oppdater konfigurasjonen med disse verdiene, og test for å sikre at brukernavn og unike navn (DN) rapporteres på riktig måte: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Feil konfigurasjonsbrukersøkebane er en annen potensiell årsak til at brukere mangler. Dette er en DN som angir søkebanen som godkjenningstjenesten skal bruke ved søk etter brukere i LDAP- eller AD-hierarkiet. Angi en søkebane som er relativ til den grunnleggende DN-en som er angitt i alternativet config-serveraddress . For AD angir du for eksempel cn=users. Bekreft med katalogadministratoren at dette feltet er riktig.
 

Problem 3: Attributtet for konfigurasjonsgruppenavner tomt eller feil.

En feil verdi i dette feltet resulterer i en tom kolonne for gruppenavn når en bruker spør etter AD- eller LDAP-grupper. Følgende kommandoer ser etter symptomer og årsak:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Attributtet som identifiserer gruppenavnet (for eksempel cn), mangler. Oppdater konfigurasjonen med disse verdiene, og kontroller at gruppenavnene nå er oppført i Gruppenavn-kolonnen . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problem 4: Objektklassen Konfigurasjonsgruppe er tom eller feil

En feil verdi i dette feltet fører til at ingen resultater returneres når en bruker spør AD- eller LDAP-grupper. Bruk disse kommandoene til å teste for symptomer og årsak:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Objektklasseattributtet som identifiserer grupper i kataloghierarkiet, er groupOfUniqueNames (LDAP) eller groupOfNames (AD). For AD bruker du gruppe
 
Oppdater konfigurasjonen med disse verdiene, du skal nå se gruppenavn og gruppe-DN-er oppført: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Andre potensielle årsaker til at grupper ikke vises, er:
  1. AD-brukeren som er angitt i authc_mgmt -kommandoen er ikke medlem av en AD-gruppe. Test andre brukernavn og kontakt AD-administratoren for å bekrefte bruker- eller gruppemedlemskap.
  2. Verdien for Config Group Search Path er feil. Dette er en DN som angir søkebanen som godkjenningstjenesten skal bruke når den søker etter grupper i kataloghierarkiet. Angi en søkebane som er relativ til base-DN-en du angav i alternativet config-server-address .

Additional Information

NetWorker: Veiledning for integrering og konfigurasjon av AD og LDAP

Metoder som beskriver hvordan du konfigurerer AD, LDAP, LDAPS med NetWorker:

Hvis du vil ha mer dokumentasjon, kan du se veiledningen for sikkerhetskonfigurasjon for NetWorker som er tilgjengelig på: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.