NetWorker: Integrace externího ověřování AD nebo LDAP – Odstraňování problémů s přihlášením nebo chybějícími informacemi

Summary: Tento článek pojednává o problémech vyplývajících z nesprávné integrace protokolu LDAP (AD nebo Lightweight Directory Access Protocol) s nástrojem NetWorker a o jejich řešení.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Nelze se přihlásit k uživatelským rozhraním NetWorker.
  • nsrlogin Příkaz selže nebo vrátí chyby.
  • Ověření NetWorker proběhne úspěšně, ale uživatelské rozhraní nezobrazuje data správně.
  • Dotazy AD nebo LDAP nevrátí žádné výsledky.
  • Služba AD nebo LDAP vrátí neúplné odpovědi.

Cause

Active Directory (AD) nebo protokol LDAP (Lightweight Directory Access Protocol) jsou podnikové implementace centrálně spravovaného, provozně distribuovaného ověřování síťových entit.

NetWorker může tento protokol použít k ověřování uživatelů a autorizaci operací a nahradit starší metodu založenou na databázi uživatelských účtů specifické pro software.

Nesprávné nebo chybějící konfigurační parametry v nástroji NetWorker však způsobí, že dotazy AD nebo LDAP vrátí neúplné výsledky nebo vůbec žádné.

Resolution

Při odstraňování problémů s integrací služby AD nebo LDAP pomocí nástroje NetWorker použijte authc_config a authc_mgmt na serveru NetWorker.

Následují příklady těchto příkazů. Chcete-li zobrazit všechny dostupné možnosti, spusťte každý příkaz bez dalších argumentů.

Jak vyhledat a aktualizovat podrobnosti konfigurace.

Spuštěním následujících příkazů vypište podrobnosti o konfiguraci pomocí uživatelského jména a hesla podle problému, ke kterému došlo:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

POZNÁMKA: V některých systémech vede zadání hesla jako prostého textu k chybě nesprávného hesla . Spusťte příkaz znovu bez -p password Argument vyzve k zadání hesla. Nahraďte znak # ve třetím příkazu identifikátorem config-id hlášeným prvním příkazem.

Hodnota a název tenanta se používají v některých z následujících příkazů.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Výše uvedený příklad ukazuje nastavení konfigurace, které se používá v pracovním testovacím prostředí s externím ověřováním AD. Některé z hodnot, jako jsou: adresa serveru, konfigurační uživatel a vyhledávací cesty uživatele nebo skupiny, jsou specifické pro každé prostředí; ostatní hodnoty jsou však výchozími atributy AD.
 
Chcete-li opravit nesprávné hodnoty, aktualizujte zdroj externí autority z konzole NetWorker Management Console (NMC) nebo webového uživatelského rozhraní NetWorker (NWUI):
 
Volitelně lze použít šablony skriptů:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Naplňte skripty svými informacemi a změňte -e add-config Argument příkazu pro -e update-config.
NetWorker: Jak nastavit protokol LDAP/AD pomocí skriptů authc_config
 
POZNÁMKA: pro AD použijte authc-create-ad-config a pro LDAP použijte authc-create-ldap-config Šablona skriptu. Po vyplnění vyjměte .template z názvu souboru a spusťte skript z příkazového řádku správce nebo uživatele root.

Problém 1: Nesprávný atribut ID uživatele konfigurace

Nesprávná hodnota v tomto poli má za následek prázdný sloupec uživatelského jména při dotazu na uživatele AD nebo LDAP. Tento sloupec zobrazuje, jak se zadává uživatelské jméno pro přihlášení. Pokud není zadána hodnota, je účet nahlášen jako neplatný. Chcete-li načíst tyto hodnoty, spusťte:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
POZNÁMKA: Sloupec Uživatelské jméno je prázdný. Jedinečné ID uživatele přidružené k objektu uživatele v hierarchii LDAP nebo ADje obvykle uid (LDAP) nebo sAMAccountName (AD). Aktualizace této hodnoty v konfiguraci opraví uživatelské jméno, které je uvedeno ve sloupci Uživatelské jméno . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problém 2: Config User Object Class je prázdná nebo nesprávná.

Nesprávná hodnota v tomto poli způsobí, že se při dotazování na uživatele služby AD nebo LDAP nevrátí žádné výsledky. Pomocí těchto příkazů otestujte tento příznak a příčinu:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Atribut třídy objektu, který identifikuje uživatele v hierarchii adresářů,je obvykle inetOrgPerson (LDAP) nebo user (AD). 

Aktualizujte konfiguraci pomocí těchto hodnot a otestujte, zda jsou uživatelské jméno a rozlišující jména (DN) správně nahlášeny: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Nesprávná vyhledávací cesta uživatele konfigurace je další potenciální příčinou chybějících uživatelů. Jedná se o rozlišující název, který určuje vyhledávací cestu, kterou má ověřovací služba použít při hledání uživatelů v hierarchii LDAP nebo AD. Zadejte cestu hledání, která je relativní vzhledem k základnímu DN zadanému v možnosti config-serveraddress . Například u AD zadejte cn=users. Potvrďte u správce adresáře, že je toto pole správné.
 

Problém 3: Atribut názvu konfigurační skupinyje prázdný nebo nesprávný.

Nesprávná hodnota v tomto poli má za následek prázdný sloupec Název skupiny při dotazu na skupiny AD nebo LDAP pro uživatele. Následující příkazy zkontrolují příznaky a příčinu:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Chybí atribut, který identifikuje název skupiny (například cn). Aktualizujte konfiguraci pomocí těchto hodnot a ujistěte se, že názvy skupin jsou nyní uvedeny ve sloupci Název skupiny . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problém 4: Třída objektu konfigurační skupiny je prázdná nebo nesprávná.

Nesprávná hodnota v tomto poli způsobí, že se při dotazování na skupiny AD nebo LDAP pro uživatele nevrátí žádné výsledky. Pomocí těchto příkazů otestujte příznaky a příčinu:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Atribut třídy objektu, který identifikuje skupiny v hierarchii adresářů, je groupOfUniqueNames (LDAP) nebo groupOfNames (AD). Pro AD použijte skupinu
 
Aktualizujte konfiguraci pomocí těchto hodnot, teď by se měly zobrazit názvy skupin a názvy názvů skupin: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Další možné příčiny, proč se skupiny nezobrazují, jsou:
  1. Uživatel AD, který je uveden v poli authc_mgmt není členem skupiny AD. Otestujte další uživatelská jména a ověřte u správce služby AD členství uživatele nebo skupiny.
  2. Hodnota Config Group Search Path je nesprávná. Jedná se o rozlišující název, který určuje vyhledávací cestu, kterou má ověřovací služba použít při hledání skupin v hierarchii adresářů. Zadejte vyhledávací cestu, která je relativní vzhledem k základnímu DN, které jste zadali v možnosti config-server-address .

Additional Information

NetWorker: Průvodce integrací a konfigurací služeb AD a LDAP

Metody podrobně popisující postup konfigurace AD, LDAP, LDAPS pomocí NetWorker:

Další dokumentaci naleznete v Příručce ke konfiguraci zabezpečení NetWorker, která je k dispozici prostřednictvím: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.