NetWorker : Intégration de l’authentification externe AD ou LDAP : résolution des problèmes de connexion ou d’informations manquantes

Summary: Cet article traite des problèmes liés à l’intégration incorrecte d’AD ou du protocole LDAP (Lightweight Directory Access Protocol) avec NetWorker et de la manière de les résoudre.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Impossible de se connecter aux interfaces utilisateur NetWorker.
  • nsrlogin La commande échoue ou renvoie des erreurs.
  • L’authentification NetWorker réussit, mais les interfaces utilisateur ne présentent pas correctement les données.
  • Les requêtes AD ou LDAP ne renvoient aucun résultat.
  • AD ou LDAP renvoie des réponses incomplètes.

Cause

Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) sont des implémentations d’entreprise d’une authentification d’entité réseau gérée de manière centralisée et distribuée de manière opérationnelle.

NetWorker peut utiliser ce protocole pour authentifier les utilisateurs et autoriser les opérations, remplaçant ainsi l’ancienne méthode basée sur une base de données de comptes utilisateur propre au logiciel.

Toutefois, si les paramètres de configuration sont incorrects ou manquants dans NetWorker, les requêtes AD ou LDAP renvoient des résultats incomplets, voire aucun résultat.

Resolution

Pour résoudre les problèmes d’intégration AD ou LDAP avec NetWorker, utilisez la commande authc_config et authc_mgmt sur le serveur NetWorker.

Vous trouverez ci-dessous des exemples de ces commandes. Pour afficher toutes les options disponibles, exécutez chaque commande sans arguments supplémentaires.

Comment trouver et mettre à jour les détails de configuration.

Exécutez les commandes suivantes pour générer vos détails de configuration, à l’aide du nom d’utilisateur et du mot de passe correspondant au problème rencontré :

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

Remarque : Sur certains systèmes, la spécification des mots de passe en texte brut entraîne une erreur de mot de passe incorrect . Exécutez à nouveau la commande sans -p password invite à saisir le mot de passe. Remplacez le # dans la troisième commande par le config-id signalé par la première commande.

La valeur et le nom du client sont utilisés dans certaines des commandes suivantes.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
L’exemple ci-dessus montre les paramètres de configuration utilisés dans un environnement de laboratoire de travail avec authentification AD externe. Certaines des valeurs telles que : l’adresse du serveur, l’utilisateur de configuration et les chemins de recherche d’utilisateur ou de groupe sont spécifiques à chaque environnement ; toutefois, les autres valeurs sont des attributs AD par défaut.
 
Pour corriger les valeurs incorrectes, mettez à jour la ressource d’autorité externe à partir de NetWorker Management Console (NMC) ou de NetWorker Web User Interface (NWUI) :
 
Si vous le souhaitez, les modèles de script peuvent être utilisés :
 
Windows. : C :\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Renseignez les scripts avec vos informations et modifiez le paramètre -e add-config argument de commande à -e update-config.
NetWorker : Configuration de LDAP/AD à l’aide de scripts authc_config
 
REMARQUE : pour AD, utilisez la commande authc-create-ad-config et pour LDAP, utilisez la commande authc-create-ldap-config modèle de script. Une fois renseigné, supprimez le fichier .template à partir du nom de fichier et exécutez le script à partir d’une invite de commande administrative ou root.

Problème 1 : Attribut ID utilisateur de configuration incorrect

Une valeur incorrecte dans ce champ entraîne une colonne User Name vide lors de l’interrogation des utilisateurs AD ou LDAP. Cette colonne affiche la façon dont le nom d’utilisateur est spécifié pour la connexion. Le compte est signalé comme non valide si la valeur n’est pas spécifiée. Pour récupérer ces valeurs, exécutez :

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
Remarque : La colonne Nom d’utilisateur est vide. L’ID utilisateur unique associé à l’objet utilisateur dans la hiérarchie LDAP ou Active Directoryest généralement uid (LDAP) ou sAMAccountName (AD). La mise à jour de cette valeur dans la configuration corrige le nom d’utilisateur indiqué dans la colonne Nom d’utilisateur . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problème 2 : La classe d’objets utilisateur de configuration est vide ou incorrecte.

Une valeur incorrecte dans ce champ entraîne l’absence de résultats lors de l’interrogation des utilisateurs AD ou LDAP. Utilisez ces commandes pour tester ce symptôme et la cause :

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
L’attribut de la classe d’objets qui identifie les utilisateurs dans la hiérarchie de répertoireest généralement inetOrgPerson (LDAP) ou user (AD). 

Mettez à jour la configuration avec ces valeurs et effectuez un test pour vous assurer que le nom d’utilisateur et les noms uniques (DN) sont correctement signalés : 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Un chemin de recherche utilisateur de configuration incorrect est une autre cause potentielle d’absence d’utilisateurs. Il s’agit d’un nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche d’utilisateurs dans la hiérarchie LDAP ou AD. Spécifiez un chemin de recherche relatif au nom unique de base spécifié dans l’option config-serveraddress . Par exemple, pour AD, spécifiez cn=users. Confirmez auprès de votre administrateur d’annuaire que ce champ est correct.
 

Problème 3 : L’attribut Nom du groupe de configurationest vide ou incorrect.

Une valeur incorrecte dans ce champ entraîne une colonne de nom de groupe vide lors de l’interrogation de groupes AD ou LDAP pour un utilisateur. Les commandes suivantes vérifient les symptômes et la cause :

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
L’attribut qui identifie le nom du groupe ( tel que cn) est manquant. Mettez à jour la configuration avec ces valeurs et assurez-vous que les noms de groupe sont désormais répertoriés dans la colonne Nom du groupe . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problème 4 : La classe d’objets du groupe de configuration est vide ou incorrecte

Une valeur incorrecte dans ce champ entraîne l’absence de résultats lors de l’interrogation des groupes AD ou LDAP pour un utilisateur. Utilisez ces commandes pour tester le symptôme et la cause :

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
L’attribut de classe d’objet qui identifie les groupes dans la hiérarchie de répertoire est groupOfUniqueNames (LDAP) ou groupOfNames (AD). Pour AD, utilisez le groupe
 
Mettez à jour la configuration avec ces valeurs. Vous devriez maintenant voir les noms de groupe et les noms distinctifs de groupe répertoriés : 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Les autres causes possibles de l’absence d’affichage des groupes sont les suivantes :
  1. L’utilisateur AD spécifié dans le authc_mgmt n’est pas membre d’un groupe AD. Testez d’autres noms d’utilisateur et vérifiez auprès de votre administrateur AD pour confirmer l’appartenance à l’utilisateur ou au groupe.
  2. La valeur du chemin de recherche du groupe de configuration est incorrecte. Il s’agit d’un nom unique qui spécifie le chemin de recherche que le service d’authentification doit utiliser lors de la recherche de groupes dans la hiérarchie de répertoires. Spécifiez un chemin de recherche relatif au nom unique de base que vous avez spécifié dans l’option config-server-address .

Additional Information

NetWorker : Guide de tri de l’intégration et de la configuration AD et LDAP

Méthodes décrivant comment configurer AD, LDAP, LDAPS avec NetWorker :

Pour plus d’informations, reportez-vous au Guide de configuration de la sécurité NetWorker, disponible ici : https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.