NetWorker: Integracja uwierzytelniania zewnętrznego AD lub LDAP — rozwiązywanie problemów z logowaniem lub brakującymi informacjami

Summary: W tym artykule omówiono problemy wynikające z nieprawidłowej integracji AD lub protokołu LDAP (Lightweight Directory Access Protocol) z NetWorker oraz sposoby ich rozwiązywania.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Nie można zalogować się do interfejsów użytkownika NetWorker.
  • nsrlogin Polecenie kończy się niepowodzeniem lub zwraca błędy.
  • Uwierzytelnianie NetWorker powiodło się, ale interfejsy użytkownika nie prezentują poprawnie danych.
  • Zapytania AD lub LDAP nie zwracają żadnych wyników.
  • Usługa AD lub LDAP zwraca niekompletne odpowiedzi.

Cause

Active Directory (AD) lub Lightweight Directory Access Protocol (LDAP) to korporacyjne implementacje centralnie zarządzanego, rozproszonego operacyjnie uwierzytelniania jednostek sieciowych.

NetWorker może używać tego protokołu do uwierzytelniania użytkowników i autoryzacji operacji, zastępując starszą metodę opartą na bazie danych kont użytkowników specyficznej dla oprogramowania.

Jednak nieprawidłowe lub brakujące parametry konfiguracji w NetWorker powodują, że zapytania AD lub LDAP zwracają niekompletne wyniki lub nie zwracają ich wcale.

Resolution

Podczas rozwiązywania problemów z integracją AD lub LDAP z NetWorker, użyj authc_config i authc_mgmt poleceń na serwerze NetWorker.

Poniżej przedstawiono przykłady tych poleceń. Aby wyświetlić wszystkie dostępne opcje, uruchom każde polecenie bez dodatkowych argumentów.

Jak znaleźć i zaktualizować szczegóły konfiguracji.

Uruchom następujące polecenia, aby wyświetlić szczegóły konfiguracji, używając nazwy użytkownika i hasła odpowiedniego do napotkanego problemu:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

UWAGA: W niektórych systemach podanie hasła jako zwykłego tekstu powoduje błąd nieprawidłowego hasła . Uruchom ponownie polecenie bez -p password monituje o wprowadzenie hasła. Zamień znak # w trzecim poleceniu na config-id zgłoszony przez pierwsze polecenie.

Wartość i nazwa dzierżawy są używane w niektórych z poniższych poleceń.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
W powyższym przykładzie przedstawiono ustawienia konfiguracji, które są używane w działającym środowisku laboratoryjnym z zewnętrznym uwierzytelnianiem usługi AD. Niektóre wartości, takie jak: adres serwera, użytkownik konfiguracji oraz ścieżki wyszukiwania użytkownika lub grupy są specyficzne dla każdego środowiska; jednak pozostałe wartości są domyślnymi atrybutami usługi AD.
 
Aby naprawić nieprawidłowe wartości, zaktualizuj zasób uprawnień zewnętrznych z poziomu konsoli NetWorker Management Console (NMC) lub sieciowego interfejsu użytkownika NetWorker (NWUI):
 
Opcjonalnie można użyć szablonów skryptów:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/serwer-autorski/skrypty/
 
Wypełnij skrypty swoimi informacjami i zmień pole -e add-config argument polecenia do -e update-config.
NetWorker: Konfigurowanie uwierzytelniania LDAP/AD przy użyciu skryptów authc_config
 
UWAGA: w przypadku AD użyj authc-create-ad-config , a w przypadku protokołu LDAP użyj authc-create-ldap-config szablon skryptu. Po wypełnieniu usuń plik .template z nazwy pliku i uruchom skrypt z wiersza poleceń administratora lub roota.

Zagadnienie 1: Nieprawidłowy atrybut identyfikatora użytkownika w konfiguracji

Nieprawidłowa wartość w tym polu powoduje wyświetlenie pustej kolumny Nazwa użytkownika podczas wysyłania zapytań o użytkowników usługi AD lub LDAP. W tej kolumnie jest wyświetlana nazwa użytkownika do logowania. Jeśli wartość konta nie zostanie określona, konto zostanie zgłoszone jako nieprawidłowe. Aby pobrać te wartości, uruchom polecenie:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
UWAGA: Kolumna Nazwa użytkownika jest pusta. Unikatowy identyfikator użytkownika skojarzony z obiektem użytkownika w hierarchii LDAP lub ADto zwykle uid (LDAP) lub sAMAccountName (AD). Zaktualizowanie tej wartości w konfiguracji powoduje poprawienie nazwy użytkownika zgłoszonej w kolumnie Nazwa użytkownika . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problem 2: Klasa obiektu użytkownika konfiguracji jest pusta lub niepoprawna.

Nieprawidłowa wartość w tym polu powoduje, że podczas wykonywania zapytań dotyczących użytkowników usługi AD lub LDAP nie są zwracane żadne wyniki. Użyj tych poleceń, aby przetestować ten objaw i przyczynę:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Atrybutem klasy obiektów, który identyfikuje użytkowników w hierarchii katalogów, jest zwykle inetOrgPerson (LDAP) lub user (AD). 

Zaktualizuj konfigurację o te wartości i przetestuj, czy nazwa użytkownika i nazwy wyróżniające (DN) są prawidłowo zgłaszane: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Nieprawidłowa ścieżka wyszukiwania użytkownika konfiguracji to kolejna potencjalna przyczyna braku użytkowników. Jest to nazwa wyróżniająca określająca ścieżkę wyszukiwania, której usługa uwierzytelniania powinna używać podczas wyszukiwania użytkowników w hierarchii LDAP lub AD. Określ ścieżkę wyszukiwania względem podstawowej nazwy wyróżniającej określonej w opcji config-serveraddress . Na przykład dla usługi AD określ cn=users. Potwierdź u administratora katalogu, że to pole jest poprawne.
 

Zagadnienie 3: Atrybut nazwy grupy konfiguracyjnejjest pusty lub nieprawidłowy.

Nieprawidłowa wartość w tym polu powoduje wyświetlenie pustej kolumny Group Name podczas wysyłania zapytania o grupy AD lub LDAP dla użytkownika. Następujące polecenia sprawdzają objaw i przyczynę:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Brak atrybutu identyfikującego nazwę grupy (np. cn). Zaktualizuj konfigurację o te wartości i upewnij się, że nazwy grup są teraz wyświetlane w kolumnie Nazwa grupy . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Zagadnienie 4: Klasa obiektu grupy konfiguracji jest pusta lub nieprawidłowa

Nieprawidłowa wartość w tym polu powoduje, że podczas wykonywania zapytań dotyczących grup AD lub LDAP dla użytkownika nie są zwracane żadne wyniki. Użyj tych poleceń, aby sprawdzić objaw i przyczynę:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Atrybut klasy obiektu, który identyfikuje grupy w hierarchii katalogów, to groupOfUniqueNames (LDAP) lub groupOfNames (AD). W przypadku usługi AD użyj group
 
Zaktualizuj konfigurację przy użyciu tych wartości. Teraz powinny być widoczne nazwy grup i nazwy wyróżniające grup: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Inne potencjalne przyczyny, dla których grupy nie pojawiają się, to:
  1. Użytkownik AD określony w polu authc_mgmt polecenie nie jest elementem grupy AD. Przetestuj inne nazwy użytkowników i skontaktuj się z administratorem usługi AD, aby potwierdzić członkostwo użytkownika lub grupy.
  2. Wartość ścieżki wyszukiwania w grupie konfiguracji jest nieprawidłowa. Jest to nazwa wyróżniająca określająca ścieżkę wyszukiwania, której usługa uwierzytelniania powinna używać podczas wyszukiwania grup w hierarchii katalogów. Określ ścieżkę wyszukiwania względem podstawowej nazwy wyróżniającej określonej w opcji adres-serwera-konfiguracji .

Additional Information

NetWorker: Przewodnik weryfikacji integracji i konfiguracji AD i LDAP

Metody opisujące szczegółowo sposób konfigurowania usług AD, LDAP I LDAPS z NetWorker:

Aby uzyskać dodatkową dokumentację, zapoznaj się z podręcznikiem konfiguracji zabezpieczeń NetWorker dostępnym pod adresem: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.