NetWorker: Como configurar a autenticação do AD/LDAP

Summary: Este artigo da KB apresenta uma visão geral sobre como adicionar autoridade externa ao NetWorker usando o assistente de autoridade externa do NetWorker Management Console (NMC). A autenticação LDAP do Active Directory (AD) ou Linux pode ser usada junto com a conta padrão de administrador do NetWorker ou outras contas locais do NMC. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota: Para integrações de AD sobre SSL, a interface do usuário web do NetWorker deve ser usada para configurar a autoridade externa. Consulte o NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI).

Faça log-in no NetWorker Management Console (NMC) com a conta padrão de administrador do NetWorker. Na guia Configuração-->Usuário e Funções, há uma nova opção para Autoridade Externa.

 

Janela de configuração do Console de gerenciamento do NetWorker para o repositório de autoridade externa
Você ainda pode usar os comandos authc_config e authc_mgmt para consultar configurações e usuários e grupos do AD/LDAP; No entanto, é recomendável usar o NMC para adicionar o AD/LDAP ao NetWorker.
 
1) Para adicionar uma nova autoridade,clique com o botão direito do mouse na janela Autoridade Externa e selecione Novo.
2) Na caixa Autoridade de autenticação externa, você deve preencher os campos obrigatórios com suas informações do AD/LDAP.
3) Marque a caixa "Mostrar opções avançadas" para ver todos os campos
Tipo de servidor Selecione LDAP se o servidor de autenticação for um servidor LDAP Linux/UNIX, Active Directory se você estiver usando um servidor do Microsoft Active Directory.
Nome da autoridade Forneça um nome para essa autoridade de autenticação externa. Esse nome pode ser o que você quiser, mas é apenas para diferenciar entre outras autoridades quando várias estão configuradas.
Nome do servidor provedor Este campo deve conter o FQDN (Fully Qualified Domain Name, nome do domínio completo) de seu servidor AD ou LDAP.
Inquilino Os tenants podem ser usados em ambientes em que mais de um método de autenticação pode ser usado e/ou quando várias autoridades devem ser configuradas. Por padrão, o tenant "padrão" é selecionado. O uso de tenants altera seu método de log-in. Quando o tenant padrão é usado, você pode fazer log-in no NMC usando "domain\user" se um tenant diferente do tenant padrão for usado, você deverá especificar "tenant\domain\user" ao fazer log-in no NMC.
Domain Especifique seu nome de domínio completo (excluindo um hostname). Normalmente, esse é o seu DN de base, que consiste nos valores do dc (Domain Component, componente de domínio) de seu domínio. 
Número da porta Para integração com LDAP e AD, use a porta 389. Para LDAP sobre SSL, use a porta 636. Essas portas não são portas padrão do NetWorker no servidor AD/LDAP.
User DN Especifique o DN (Distinguished Name , nome distinto) de uma conta de usuário que tenha acesso completo de leitura ao diretório LDAP ou AD.
Especifique o DN relativo da conta de usuário ou o DN completo se sobrepondo o valor definido no campo Domínio.
User DN Password Especifique a senha da conta de usuário especificada.
Classe de objeto do grupo A classe de objeto que identifica grupos na hierarquia LDAP ou AD.
  • Para LDAP, use groupOfUniqueNames ou groupOfNames
    • Nota: Há outras classes de objeto de grupo além do groupOfUniqueNames e groupOfNames.  Use qualquer classe de objeto configurada no servidor LDAP.
  • Para OD, use group.
Caminho de pesquisa de grupo Esse campo pode ser deixado em branco, caso em que o authc é capaz de consultar o domínio completo. As permissões devem ser concedidas para acesso ao servidor do NMC/NetWorker antes que esses usuários/grupos possam fazer log-in no NMC e gerenciar o servidor do NetWorker. Especifique o caminho relativo para o domínio em vez de DN completo.
Atributo de nome do grupo O atributo que identifica o nome do grupo. Por exemplo, cn.
Atributo de membro do grupo A lista de membros do grupo do usuário em um grupo.
  • Para LDAP:
    • Quando Group Object Class é groupOfNames , o atributo é geralmente membro.
    • Quando Group Object Class é groupOfUniqueNames , o atributo é normalmente exclusivo.
  •  Para o AD, o valor geralmente é membro.
Classe de objeto do usuário A classe de objeto que identifica os usuários na hierarquia LDAP ou AD.
Por exemplo, inetOrgPerson ouusuário
Caminho de pesquisa do usuário Como Caminho de pesquisa de grupo, esse campo pode ser deixado em branco, caso em que o authc é capaz de consultar o domínio completo. Especifique o caminho relativo para o domínio em vez de DN completo.
Atributo de ID do usuário O ID do usuário associado ao objeto do usuário na hierarquia LDAP ou AD.
  • Para LDAP, esse atributo é normalmente id exclusivo.
  • Para o AD, esse atributo é normalmente sAMAccountName.
Por exemplo, integração do Active Directory:
Assistente de criação de autoridade externa
Nota: Consulte seu administrador do AD/LDAP para confirmar quais campos específicos do AD/LDAP são necessários para seu ambiente.
 
4) Depois que todos os campos forem preenchidos, clique em OK para adicionar a nova autoridade.
5) Você pode usar o comando authc_mgmt em seu servidor do NetWorker para confirmar se os grupos/usuários do AD/LDAP estão visíveis: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Por exemplo: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
Nota: Em alguns sistemas, os comandos authc podem falhar com um erro de "senha incorreta", mesmo quando a senha correta é fornecida. Isso ocorre porque a senha está sendo especificada como texto visível com a opção "-p". Se você encontrar isso, remova "-p password" dos comandos. Você será solicitado a digitar a senha oculta depois de executar o comando.
 
6) Quando estiver conectado ao NMC como a conta padrão de administrador do NetWorker, abra Setup -->Users and Roles -->NMC Roles. Abra as propriedades da função "Administradores de aplicativos do console"  e digite o nome distinto (DN) de um grupo do AD/LDAP (coletado na etapa 5) no campo de funções externas. Para os usuários que exigem as mesmas permissões de nível que a conta padrão de administrador do NetWorker, você também precisará especificar o DN do grupo AD/LDAP na função "Console Security Administrators". Para usuários/grupos que não precisam de direitos administrativos ao Console do NMC, adicione seu DN completo nas funções externas "Console User" (Usuário do console).
 
Nota: Por padrão, já existe o DN do grupo de administradores LOCAIS do servidor do NetWorker, NÃO exclua isso.

7) As permissões de acesso também devem ser aplicadas por servidor do NetWorker configurado no NMC. Isso pode ser feito de duas maneiras:

opção 1)
Conecte o servidor do NetWorker a partir do NMC, abra Server-->User Groups. Abra as propriedades da função "Administradores de aplicativos"  e digite o nome distinto (DN) de um grupo do AD/LDAP (coletado na etapa 5) no campo Funções externas. Para os usuários que exigem as mesmas permissões de nível que a conta padrão de administrador do NetWorker, você deve especificar o DN do grupo AD/LDAP na função "Administradores de segurança".

Nota: Por padrão, já existe o DN do grupo de administradores LOCAIS do servidor do NetWorker, NÃO exclua isso.
 
Opção 2)
Para usuários/grupos do AD, você deseja conceder direitos de administrador ao comando nsraddadmin pode ser executado a partir de um prompt de comando admin ou root no servidor do NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
exemplo:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) faça log-in no NMC usando sua conta do AD/LDAP (por exemplo: domain\user):
Exemplo de log-in de usuário do NetWorker Management Console AD
Se um tenant diferente do tenant padrão tiver sido usado, você deverá especificá-lo antes do domínio, por exemplo: tenant\domain\user.
A conta usada será exibida no canto superior direito. O usuário pode executar ações com base nas funções atribuídas ao NetWorker.

9) Se você quiser que um grupo do AD/LDAP seja capaz de gerenciar autoridades externas, siga estas etapas no servidor do NetWorker.
a) Abra um prompt de comando administrativo/root.
b) Usando o DN do grupo do AD (coletado na etapa 5), você deseja conceder FULL_CONTROL permissão para executar: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Por exemplo:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

NWUI do NetWorker: Como configurar o AD/LDAP a partir da interface do usuário da Web do
NetWorkerNetworker: Como configurar o LDAP/AD usando authc_config scripts
Networker: Como configurar a autenticação LDAPS.

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000156107
Article Type: How To
Last Modified: 14 Jan 2025
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.