NetWorker: AD eller LDAP Integrering av extern autentisering – Felsökning av problem med inloggning eller saknad information

Summary: I den här artikeln beskrivs problem som uppstår på grund av felaktig AD- eller LDAP-integrering (Lightweight Directory Access Protocol) med NetWorker och hur du löser dem.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Det går inte att logga in på NetWorker-användargränssnitten.
  • nsrlogin Kommandot misslyckas eller returnerar fel.
  • NetWorker-autentiseringen lyckas, men användargränssnitten visar inte data korrekt.
  • AD- eller LDAP-frågor returnerar inga resultat.
  • AD eller LDAP returnerar ofullständiga svar.

Cause

Active Directory (AD) eller LDAP (Lightweight Directory Access Protocol) är företagsimplementeringar av centralt hanterad, operativt distribuerad autentisering av nätverksentiteter.

NetWorker kan använda det här protokollet för att autentisera användare och auktorisera åtgärder, och ersätta den äldre metoden som baseras på en programvaruspecifik användarkontodatabas.

Felaktiga eller saknade konfigurationsparametrar i NetWorker gör dock att AD- eller LDAP-frågor returnerar ofullständiga resultat, eller inga alls.

Resolution

När du felsöker AD- eller LDAP-integreringsproblem med NetWorker använder du authc_config och authc_mgmt kommandon på NetWorker-servern.

Exempel på dessa kommandon följer. Om du vill se alla tillgängliga alternativ kör du varje kommando utan ytterligare argument.

Så här hittar du och uppdaterar din konfigurationsinformation.

Kör följande kommandon för att mata ut konfigurationsinformationen med det användarnamn och lösenord som är lämpligt för det problem som uppstår:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

Obs! På vissa system resulterar det i ett felaktigt lösenordsfel om du anger lösenord som oformaterad text. Kör kommandot igen utan att -p password Argumentet uppmanar dig att ange lösenordet. Ersätt # i det tredje kommandot med config-id som rapporteras av det första kommandot.

Klientvärdet och namnet används i några av följande kommandon.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
I exemplet ovan visas konfigurationsinställningar som används i en arbetslabbmiljö med extern AD-autentisering. Vissa av värdena, till exempel: serveradress, konfigurationsanvändare och sökvägar för användare eller grupper, är specifika för varje miljö. De andra värdena är dock AD-standardattribut.
 
Åtgärda eventuella felaktiga värden genom att uppdatera resursen för extern utfärdare från NetWorker Management Console (NMC) eller NetWorker Web User Interface (NWUI):
 
Du kan också använda skriptmallarna:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Fyll i skripten med din information och ändra -e add-config kommandoargument till -e update-config. – Herr talman,
NetWorker: Så här ställer du in LDAP/AD med hjälp av authc_config-skript
 
OBS: för AD använd authc-create-ad-config och för LDAP använd authc-create-ldap-config skriptmall. När du har fyllt i den tar du bort .template från filnamnet och kör skriptet från en administrativ kommandotolk eller rotkommandotolk.

Problem 1: Felaktigt användar-ID-attribut för konfiguration

Ett felaktigt värde i det här fältet resulterar i en tom användarnamnskolumn när du frågar efter AD- eller LDAP-användare. I den här kolumnen visas hur användarnamnet anges för inloggning. Kontot rapporteras som ogiltigt om värdet inte anges. Om du vill hämta dessa värden kör du:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
Obs! Kolumnen Användarnamn är tom. Det unika användar-ID som är associerat med användarobjektet i LDAP- eller AD-hierarkinär vanligtvis uid (LDAP) eller sAMAccountName (AD). Om du uppdaterar det här värdet i konfigurationen korrigeras användarnamnet som rapporteras i kolumnen Användarnamn . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problem 2: Config User Object Class är tom eller felaktig.

Ett felaktigt värde i det här fältet gör att inga resultat returneras när du frågar AD- eller LDAP-användare. Använd dessa kommandon för att testa för det här symptomet och orsaken:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Attributet för objektklassen som identifierar användarna i kataloghierarkinär vanligtvis inetOrgPerson (LDAP) eller user (AD). 

Uppdatera konfigurationen med dessa värden och testa för att säkerställa att användarnamn och unika namn (DN) rapporteras korrekt: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Felaktig sökväg för konfigurationsanvändare är en annan möjlig orsak till att användare saknas. Det här är ett DN som anger den sökväg som autentiseringstjänsten ska använda när den söker efter användare i LDAP- eller AD-hierarkin. Ange en sökväg som är relativ till bas-DN som anges i alternativet config-serveraddress . För AD anger du till exempel cn=users. Bekräfta med katalogadministratören att det här fältet är korrekt.
 

Problem 3: Attributet Konfigurationsgruppnamnär tomt eller felaktigt.

Ett felaktigt värde i det här fältet resulterar i en tom kolumn för gruppnamn när du frågar efter AD- eller LDAP-grupper för en användare. Följande kommandon söker efter symptom och orsak:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Attributet som identifierar gruppnamnet (t.ex. cn) saknas. Uppdatera konfigurationen med dessa värden och se till att gruppnamnen nu visas i kolumnen Gruppnamn . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problem 4: Klassen Config Group Object är tom eller felaktig

Ett felaktigt värde i det här fältet gör att inga resultat returneras när du frågar AD- eller LDAP-grupper efter en användare. Använd dessa kommandon för att testa symptom och orsak:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Objektklassattributet som identifierar grupper i kataloghierarkin är groupOfUniqueNames (LDAP) eller groupOfNames (AD). För AD använder du group
 
Uppdatera konfigurationen med dessa värden, nu bör du se gruppnamn och grupp-DN i listan: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Andra möjliga orsaker till att grupper inte visas är:
  1. Den AD-användare som anges i authc_mgmt kommandot är inte medlem i en AD-grupp. Testa andra användarnamn och kontakta AD-administratören för att bekräfta användar- eller gruppmedlemskap.
  2. Värdet för sökväg för konfigurationsgrupp är felaktigt. Det här är ett DN som anger den sökväg som autentiseringstjänsten ska använda vid sökning efter grupper i kataloghierarkin. Ange en sökväg som är relativ till det bas-DN som du angav i alternativet config-server-address .

Additional Information

NetWorker: AD- och LDAP-integrerings- och konfigurationstriageguide

Metoder som beskriver hur du konfigurerar AD, LDAP, LDAPS med NetWorker:

Mer dokumentation finns i NetWorker Security Configuration Guide som finns på: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.