NetWorker:AD 或 LDAP 外部身份验证集成 — 对登录问题或信息缺失问题进行故障处理
Summary: 本文讨论因 AD 或轻量级目录访问协议 (LDAP) 与 NetWorker 集成不正确而产生的问题以及如何解决这些问题。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- 无法登录到 NetWorker 用户界面。
nsrlogin命令失败或返回错误。- NetWorker 身份验证成功,但 UI 无法正确显示数据。
- AD 或 LDAP 查询不返回任何结果。
- AD 或 LDAP 返回不完整的响应。
Cause
Active Directory (AD) 或轻型目录访问协议 (LDAP) 是集中管理、作分布式网络实体身份验证的企业实施。
NetWorker 可以使用此协议对用户进行身份验证和授权作,从而取代基于特定于软件的用户帐户数据库的旧方法。
但是,NetWorker 中的配置参数不正确或缺失会导致 AD 或 LDAP 查询返回不完整的结果,或者根本没有。
Resolution
在对 NetWorker 的 AD 或 LDAP 集成问题进行故障处理时,请使用 authc_config 和 authc_mgmt NetWorker 服务器上的命令。
下面提供了这些命令的示例。若要查看所有可用选项,请运行每个命令,而不使用其他参数。
如何查找和更新您的配置详细信息。
运行以下命令,使用与所遇到问题对应的用户名和密码输出您的配置详细信息:
authc_config -u Administrator -p 'password' -e find-all-configsauthc_config -u Administrator -p 'password' -e find-all-tenantsauthc_config -u Administrator -p 'password' -e find-config -D config-id=#
提醒:在某些系统上,以纯文本形式指定密码会导致 密码错误 。在没有
-p password 参数提示输入密码。将第三个命令中的 # 替换为第一个命令报告的 config-id 。
租户值和名称在以下一些命令中使用。
[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs Enter password: The query returns 1 records. Config Id Config Name 1 lab [root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants Enter password: The query returns 1 records. Tenant Id Tenant Name 1 default [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 Enter password: Config Id : 1 Config Tenant Id : 1 Config Name : lab Config Domain : lab Config Server Address : ldap://winldap.lab.loc:389/DC=lab,DC=loc Config User DN : CN=Administrator,CN=Users,DC=lab,DC=loc Config User Group Attribute : memberOf Config User ID Attribute : sAMAccountName Config User Object Class : user Config User Search Filter : Config User Search Path : CN=Users Config Group Member Attribute: member Config Group Name Attribute : cn Config Group Object Class : group Config Group Search Filter : Config Group Search Path : CN=NetWorker Admins Config Object Class : objectClass Is Active Directory : true Config Search Subtree : true
上面的示例显示了在具有外部 AD 身份验证的工作实验室环境中使用的配置设置。某些值(如:服务器地址、配置用户和用户或组搜索路径)特定于每个环境;但是,其他值是默认 AD 属性。
要修复任何不正确的值,请从 NetWorker Management Console (NMC) 或 NetWorker Web 用户界面 (NWUI) 更新外部授权资源:
(可选)可以使用脚本模板:
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux的:/opt/nsr/authc-server/scripts/
Linux的:/opt/nsr/authc-server/scripts/
使用您的信息填充脚本,并将
NetWorker:如何使用 authc_config 脚本设置 LDAP/AD
-e add-config command 参数设置为 -e update-config。
NetWorker:如何使用 authc_config 脚本设置 LDAP/AD
提醒: 对于 AD,请使用
authc-create-ad-config 对于 LDAP,请使用 authc-create-ldap-config 脚本模板。填充后,删除 .template 从文件名,然后从管理或 root 命令提示符运行脚本。
问题 1:配置用户 ID 属性不正确
如果此字段中的值不正确,则在查询 AD 或 LDAP 用户时, 用户名列将为 空。此列显示如何为登录指定用户名。如果未指定值,则帐户将报告为无效。要检索这些值,请运行:
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute :
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
cn=Administrator,cn=Users,dc=lab,dc=loc
cn=Guest,cn=Users,dc=lab,dc=loc
cn=krbtgt,cn=Users,dc=lab,dc=loc
...
提醒:用户名列为空。与 LDAP 或 AD 层次结构中的用户对象关联的唯一用户 ID 通常是 uid (LDAP) 或 sAMAccountName (AD)。在配置中更新此值可更正 用户名 列中报告的用户名。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute : sAMAccountName
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
问题 2:配置用户对象类为空或不正确。
如果此字段中的值不正确,则会导致在查询 AD 或 LDAP 用户时不会返回任何结果。使用以下命令测试此症状和原因:
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_IDauthc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class :
标识目录层次结构中的用户的对象类的属性通常是 inetOrgPerson (LDAP) 或 user (AD)。
使用这些值更新配置并进行测试,以确保正确报告用户名和可分辨名称 (DN):
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class : user
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
不正确的 配置用户搜索路径 是丢失用户的另一个潜在原因。这是一个 DN,用于指定身份验证服务在 LDAP 或 AD 层次结构中搜索用户时应使用的搜索路径。指定相对于 config-serveraddress 选项中指定的基本 DN 的搜索路径。例如,对于 AD,指定 cn=users。请与目录管理员确认此字段正确无误。
问题 3:“配置组名称”属性为空或不正确。
在查询用户的 AD 或 LDAP 组时,如果此字段中的值不正确,则会导致 “组名称 ”列为空。以下命令检查症状和原因:
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
cn=NetWorker Admins,dc=lab,dc=loc
标识组名称的属性(如 cn)缺失。使用这些值更新配置,并确保组名称现在列在 Group Name 列中。
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute : cn
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
问题 4:配置组对象类 为空或不正确
如果此字段中的值不正确,将导致在查询用户的 AD 或 LDAP 组时不会返回任何结果。使用以下命令测试症状和原因:
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name
Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
...
Config Group Object Class :
...
标识目录层次结构中的组的对象类属性是 groupOfUniqueNames (LDAP) 或 groupOfNames (AD)。对于 AD,请使用 group。
使用这些值更新配置,您现在应该会看到列出的组名称和组 DN:
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class : group
...
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
组不显示的其他潜在原因包括:
- 在 中指定的 AD 用户
authc_mgmt命令不是 AD 组的成员。测试其他用户名,并向您的 AD 管理员确认用户或组成员身份。 - “配置组搜索路径”值不正确。这是一个 DN,用于指定身份认证服务在目录层次结构中搜索组时应使用的搜索路径。指定相对于您在config-server-address选项中指定的基本 DN 的搜索路径。
Additional Information
详细说明如何使用 NetWorker 配置 AD、LDAP、LDAPS 的方法:
- NetWorker NWUI:如何从 NetWorker Web 用户界面配置 AD/LDAP
- NetWorker NMC:如何从 NetWorker Management Console 配置 AD/LDAP
- NetWorker:如何使用authc_config脚本配置 AD/LDAP
- NetWorker:如何配置 LDAPS 身份验证。
有关其他文档,请参阅《NetWorker 安全配置指南》,网址为:https://www.dell.com/support/home/product-support/product/networker/docs
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000057044
Article Type: Solution
Last Modified: 12 Jun 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.