NetWorker. Интеграция внешней аутентификации AD или LDAP — поиск и устранение проблем со входом или отсутствием информации

Summary: В этой статье рассматриваются проблемы, возникающие из-за неправильной интеграции AD или LDAP (Lightweight Directory Access Protocol) с NetWorker, и способы их решения.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Не удается войти в пользовательский интерфейс NetWorker.
  • nsrlogin Завершается сбоем или возвращает ошибку.
  • Проверка подлинности NetWorker выполняется успешно, но пользовательские интерфейсы неправильно представляют данные.
  • Запросы AD или LDAP не дают результатов.
  • AD или LDAP возвращает неполные ответы.

Cause

Active Directory (AD) или Lightweight Directory Access Protocol (LDAP) — это корпоративные реализации централизованно управляемой, оперативно распределенной проверки подлинности сетевых объектов.

NetWorker может использовать этот протокол для аутентификации пользователей и авторизации операций, заменяя старый метод, основанный на базе данных учетных записей пользователей для конкретного программного обеспечения.

Однако неправильные или отсутствующие параметры конфигурации в NetWorker приводят к тому, что запросы AD или LDAP возвращают неполные результаты или вообще не возвращают их.

Resolution

При устранении проблем интеграции AD или LDAP с NetWorker используйте команду authc_config и authc_mgmt на сервере NetWorker.

Примеры этих команд приведены ниже. Чтобы просмотреть все доступные параметры, выполните каждую команду без дополнительных аргументов.

Как найти и обновить сведения о конфигурации.

Выполните следующие команды для вывода сведений о конфигурации, используя имя пользователя и пароль, соответствующие возникшей проблеме:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

ПРИМЕЧАНИЕ. В некоторых системах указание паролей в виде обычного текста приводит к ошибке неверного пароля . Повторно выполните команду, не используя -p password запрашивает ввод пароля. Замените # в третьей команде на config-id , о котором сообщила первая команда.

Значение и имя клиента используются в некоторых из следующих команд.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
В приведенном выше примере показаны параметры конфигурации, используемые в рабочей лабораторной среде с внешней проверкой подлинности Active Directory. Некоторые значения, такие как: адрес сервера, пользователь конфигурации и пути поиска пользователей или групп, специфичны для каждой среды; однако остальные значения являются атрибутами AD по умолчанию.
 
Чтобы исправить неправильные значения, обновите внешний ресурс центра сертификации с помощью консоли управления NetWorker Management Console (NMC) или веб-интерфейса пользователя NetWorker (NWUI):
 
При необходимости можно использовать шаблоны скриптов:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Линукс: /opt/nsr/authc-server/scripts/
 
Заполните сценарии своей информацией и измените -e add-config command в -e update-config.
NetWorker. Настройка LDAP/AD с помощью сценариев authc_config
 
ПРИМЕЧАНИЕ: для AD используйте authc-create-ad-config а для LDAP используйте authc-create-ldap-config Шаблон сценария. После заполнения удалите .template с помощью имени файла и запустите сценарий из командной строки с правами администратора или root.

Вопрос 1: Неверный атрибут идентификатора пользователя для конфигурации

Неправильное значение в этом поле приводит к пустому столбцу «Имя пользователя » при запросе пользователей AD или LDAP. В этом столбце отображается способ указания имени пользователя для входа в систему. Если значение не указано, счет будет считаться недействительным. Чтобы получить эти значения, выполните команду:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
ПРИМЕЧАНИЕ. Столбец «User Name » остается пустым. Уникальный идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD, обычноназывается uid (LDAP) или sAMAccountName (AD). Обновление этого значения в конфигурации исправляет имя пользователя, указанное в столбце User Name . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Проблема 2. Настройка класса объекта пользователя пуста или неверна.

Неправильное значение в этом поле приводит к тому, что при запросе пользователей AD или LDAP результаты не возвращаются. Используйте эти команды для проверки этого признака и причины:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Атрибутом класса объекта, который идентифицирует пользователей в иерархии каталогов, обычноявляется inetOrgPerson (LDAP) или user (AD). 

Обновите конфигурацию, используя эти значения, и убедитесь, что имя пользователя и различающиеся имена (DN) сообщаются правильно: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Еще одной потенциальной причиной отсутствия пользователей является неправильный путь поиска для конфигурации . Это отличительное имя, указывающее путь поиска, который служба проверки подлинности должна использовать при поиске пользователей в иерархии LDAP или AD. Укажите путь для поиска относительно базового DN, указанного в параметре config-serveraddress . Например, для AD укажите cn=users. При помощи администратора каталогов убедитесь в правильности этого поля.
 

Вопрос 3. Атрибут имени группы настройкипуст или неверен.

Неправильное значение в этом поле приводит к пустому столбцу «Имя группы » при запросе групп AD или LDAP для пользователя. Следующие команды проверяют наличие признаков и причин:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Отсутствует атрибут, определяющий имя группы (например, cn). Обновите конфигурацию с помощью этих значений и убедитесь, что имена групп теперь указаны в столбце Имя группы . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Проблема 4. Класс объекта группы настроек пуст или неверен

Неправильное значение в этом поле приводит к тому, что при запросе группы AD или LDAP для пользователя результаты не возвращаются. Используйте эти команды для проверки признаков и причин:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Атрибут класса объекта, который идентифицирует группы в иерархии каталогов, называется groupOfUniqueNames (LDAP) или groupOfNames (AD). Для AD используйте group
 
Обновите конфигурацию с помощью этих значений. Теперь в списке должны отображаться имена групп и различающиеся домены групп: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Другие потенциальные причины отсутствия групп:
  1. Пользователь AD, указанный в поле authc_mgmt не входит в группу AD. Проверьте другие имена пользователей и уточните у администратора AD членство пользователя или группы.
  2. Неверное значение пути поиска группы конфигурации. Это отличительное имя, указывающее путь поиска, который служба проверки подлинности должна использовать при поиске групп в иерархии каталогов. Укажите путь для поиска относительно базового DN, указанного в параметре config-server-address .

Additional Information

NetWorker. Руководство по интеграции AD и LDAP и рассмотрению конфигураций

Методы, подробно описывающие настройку AD, LDAP, LDAPS с помощью NetWorker:

Дополнительную документацию см. в руководстве по настройке безопасности NetWorker, доступном на сайте: https://www.dell.com/support/home/product-support/product/networker/docs
 

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.