NetWorker: Інтеграція зовнішньої автентифікації AD або LDAP — усунення проблем із входом або відсутньою інформацією

Summary: У цій статті розглядаються проблеми, що виникають через неправильну інтеграцію AD або Lightweight Directory Access Protocol (LDAP) з NetWorker, а також шляхи їх вирішення.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Неможливо увійти в інтерфейси користувача NetWorker.
  • nsrlogin Команда не працює або повертає помилки.
  • Автентифікація NetWorker успішна, але інтерфейси некоректно відображають дані.
  • Запити AD або LDAP не дають результатів.
  • AD або LDAP повертають неповні відповіді.

Cause

Active Directory (AD) або Lightweight Directory Access Protocol (LDAP) — це корпоративні реалізації централізованої, операційно розподіленої автентифікації

мережевих сутностей.NetWorker може використовувати цей протокол для автентифікації користувачів та авторизації операцій, замінюючи старий метод на основі програмно-специфічної бази даних облікових записів користувачів.

Однак неправильні або відсутні параметри конфігурації в NetWorker призводять до того, що запити AD або LDAP повертають неповні результати або взагалі не повертають.

Resolution

При вирішенні проблем з інтеграцією AD або LDAP з NetWorker використовуйте authc_config і authc_mgmt команд на сервері NetWorker.

Приклади цих команд наведені нижче. Щоб побачити всі доступні опції, виконайте кожну команду без додаткових аргументів.

Як знайти та оновити деталі вашої конфігурації.

Виконайте наступні команди, щоб вивести деталі конфігурації, використавши ім'я користувача та пароль, відповідні виникнутій проблемі:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

ПРИМІТКА. На деяких системах вказування паролів у вигляді простого тексту призводить до неправильної помилки пароля . Повторіть команду без -p password аргумент пропонує ввести пароль. Замініть # у третій команді на config-id , який вказує перша команда.

Значення та ім'я орендаря використовуються в деяких із наступних команд.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Наведений вище приклад показує налаштування конфігурації, які використовуються в робочому лабораторному середовищі з зовнішньою автентифікацією AD. Деякі значення, такі як: адреса сервера, користувач конфігурації та шляхи пошуку користувача або групи, є специфічними для кожного середовища; однак інші значення є стандартними атрибутами AD.
 
Щоб виправити некоректні значення, оновіть зовнішній ресурс авторитету з NetWorker Management Console (NMC) або NetWorker Web User Interface (NWUI):
 
За бажанням можна використовувати шаблони скриптів:
 
Вікна: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts
\Linux: /opt/nsr/authc-server/scripts/
 
Заповніть скрипти своєю інформацією і змініть -e add-config аргумент команди до -e update-config.
NetWorker: Як налаштувати LDAP/AD за допомогою authc_config скриптів
 
ПРИМІТКА: для AD використовуйте authc-create-ad-config а для LDAP використовують authc-create-ldap-config Шаблон сценарію. Після заповнення видаліть .template з імені файлу та запустіть скрипт з адміністративного або кореневого командного рядка.

Випуск 1: Неправильний атрибут ідентифікатора користувача конфігурації

Неправильне значення в цьому полі призводить до порожнього стовпця Ім'я користувача при запиті для користувачів AD або LDAP. У цьому стовпці показано, як вказано ім'я користувача для входу. Обліковий запис вважається недійсним, якщо значення не вказано. Щоб отримати ці значення, виконайте:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
ПРИМІТКА. Стовпець «Ім'я користувача » порожній. Унікальний ідентифікатор користувача, пов'язаний із об'єктом користувача в ієрархії LDAP або AD, зазвичай є uid (LDAP) або sAMAccountName (AD). Оновлення цього значення в конфігурації виправляє ім'я користувача, яке відображається у стовпці «Ім'я користувача ». 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Випуск 2: Клас об'єкта користувача конфігурації порожній або неправильний.

Неправильне значення в цьому полі призводить до відсутності результатів при запиті до користувачів AD або LDAP. Використовуйте ці команди, щоб перевірити цей симптом і причину:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Атрибут класу об'єктів, який ідентифікує користувачів у ієрархіїкаталогів, зазвичай називається inetOrgPerson (LDAP) або user (AD). 

Оновіть конфігурацію цими значеннями та перевірте, щоб переконатися, що ім'я користувача та відмінні імена (DN) правильно відображаються: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Неправильний конфігураційний пошуковий шлях користувача — ще одна потенційна причина пропуску користувачів. Це DN, який вказує шлях пошуку, який сервіс автентифікації повинен використовувати при пошуку користувачів у ієрархії LDAP або AD. Вкажіть шлях пошуку, який є відносно базового DN , зазначеного в опції config-serveraddress . Наприклад, для AD вкажіть cn=users. Підтвердіть у адміністратора каталогу, що це поле правильне.
 

Випуск 3: Атрибут назви групи конфігураціїпорожній або неправильний.

Неправильне значення в цьому полі призводить до порожнього стовпця «Назва групи » при запиті для AD або LDAP груп для користувача. Наступні команди перевіряють наявність симптомів і причин:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Атрибут, що ідентифікує назву групи (наприклад , cn), відсутній. Оновіть конфігурацію цими значеннями та переконайтеся, що імена груп тепер перелічені у стовпці назви групи . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Випуск 4: Клас об'єкта конфігураційної групи порожній або неправильний

Неправильне значення в цьому полі призводить до відсутності результатів при запиті AD або LDAP-груп для користувача. Використовуйте ці команди для перевірки симптомів і причин:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Атрибут класу об'єктів, що ідентифікує групи в ієрархії каталогів, — це groupOfUniqueNames (LDAP) або groupOfNames (AD). Для AD використовуйте групу
 
Оновіть конфігурацію цими значеннями, і тепер ви побачите назви груп і DN груп: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Інші потенційні причини відсутності груп:
  1. Користувач AD, який вказаний у authc_mgmt командування не є членом AD групи. Перевірте інші імена користувачів і уточніть у адміністратора AD, щоб підтвердити членство користувача або групи.
  2. Значення пошукового шляху конфігураційної групи є неправильним. Це DN, який вказує шлях пошуку, який має використовувати сервіс автентифікації при пошуку груп у ієрархії каталогів. Вкажіть шлях пошуку відносно базового DN , який ви вказали у опції config-server-address .

Additional Information

NetWorker: Посібник з інтеграції та конфігурації AD та LDAP

Методи, що описують налаштування AD, LDAP, LDAPS за допомогою NetWorker:

Для додаткової документації дивіться Посібник з конфігурації безпеки NetWorker, доступний на: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.