NetWorker: come configurare l'autenticazione AD/LDAP

Summary: Questo articolo della Kb fornisce una panoramica su come aggiungere un'autorità esterna a NetWorker utilizzando la procedura guidata per l'autorità esterna di NetWorker Management Console (NMC). L'autenticazione LDAP di Active Directory (AD) o Linux può essere utilizzata insieme all'account amministratore NetWorker predefinito o ad altri account NMC locali. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

NOTA: Per le integrazioni AD su SSL, è necessario utilizzare l'interfaccia utente web di NetWorker per configurare l'autorità esterna. Vedere NetWorker: Come configurare "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI).

Accedere a NetWorker Management Console (NMC) con l'account amministratore di NetWorker predefinito. Nella scheda Setup-->User and Roles è disponibile una nuova opzione per External Authority.

 

Finestra di configurazione di NetWorker Management Console per Il repository di Autorità esterna
È comunque possibile utilizzare i comandi authc_config e authc_mgmt per eseguire query sulle configurazioni e gli utenti e i gruppi AD/LDAP. Tuttavia, si consiglia di utilizzare NMC per aggiungere AD/LDAP a NetWorker.
 
1) Per aggiungere una nuova autorità, cliccare con il pulsante destro del mouse nella finestra Autorità esterna e selezionare Nuovo.
2) Nella casella Autorità di autenticazione esterna è necessario popolare i campi obbligatori con le informazioni AD/LDAP.
3) Selezionare la casella "Mostra opzioni avanzate" per visualizzare tutti i campi
Tipo di server Selezionare LDAP se il server di autenticazione è un server LDAP Linux/UNIX, Active Directory se si utilizza un server Microsoft Active Directory.
Nome autorità Fornire un nome per questa autorità di autenticazione esterna. Questo nome può essere quello che si desidera, ma è solo per distinguere tra altre autorità quando sono configurati più di un nome.
Nome server provider Questo campo deve contenere il nome di dominio completo (FQDN) del server AD o LDAP.
Inquilino I tenant possono essere utilizzati in ambienti in cui è possibile utilizzare più metodi di autenticazione e/o quando è necessario configurare più autorità. Per impostazione predefinita, è selezionato il tenant "default". L'utilizzo dei tenant modifica il metodo di accesso. Quando si utilizza il tenant predefinito, è possibile accedere a NMC utilizzando "dominio\utente" se si utilizza un tenant diverso dal tenant predefinito, è necessario specificare "tenant\domain\user" durante l'accesso a NMC.
Domain Specificare il nome di dominio completo (escluso un nome host). Si tratta in genere del DN di base, composto dal valore del componente di dominio del dominio. 
Numero di porta Per l'integrazione LDAP e AD, utilizzare la porta 389. Per LDAP su SSL, utilizzare la porta 636. Queste porte non sono porte predefinite di NetWorker sul server AD/LDAP.
DN utente Specificare il nome distinto di un account utente con accesso completo in lettura alla directory LDAP o AD.
Specificare il DN relativo dell'account utente o il DN completo se si esegue l'override del valore impostato nel campo Dominio.
Password DN utente Specificare la password dell'account utente specificato.
Classe Group Object La classe di object che identifica i gruppi nella gerarchia LDAP o AD.
  • Per LDAP, utilizzare groupOfUniqueNames o groupOfNames
    • Nota: Esistono altre classi di oggetti gruppo oltre a groupOfUniqueNames e groupOfNames.  Utilizzare qualsiasi classe di object configurata nel server LDAP.
  • Per AD, utilizzare il gruppo.
Percorso di ricerca gruppo Questo campo può essere lasciato vuoto nel qual caso authc è in grado di eseguire query sul dominio completo. Le autorizzazioni devono essere concesse per l'accesso al server NMC/NetWorker prima che questi utenti/gruppi possano accedere a NMC e gestire il server NetWorker. Specificare il percorso relativo al dominio anziché il DN completo.
Attributo group name Attributo che identifica il nome del gruppo. Ad esempio, cn.
Attributo membro del gruppo Appartenenza a un gruppo dell'utente all'interno di un gruppo.
  • Per LDAP:
    • Quando la classe Group Object è groupOfNames , l'attributo è comunemente membro.
    • Quando la classe Group Object è groupOfUniqueNames , l'attributo è comunemente un membro univoco.
  •  Per AD, il valore è comunemente membro.
Classe User Object La classe di object che identifica gli utenti nella gerarchia LDAP o AD.
Ad esempio, inetOrgPerson o user
Percorso di ricerca utente Come per il percorso di ricerca gruppo, questo campo può essere lasciato vuoto nel qual caso authc è in grado di eseguire query sul dominio completo. Specificare il percorso relativo al dominio anziché il DN completo.
Attributo ID utente ID utente associato all'oggetto utente nella gerarchia LDAP o AD.
  • Per LDAP, questo attributo è comunemente uid.
  • Per AD, questo attributo è comunemente sAMAccountName.
Ad esempio, l'integrazione di Active Directory:
Procedura guidata per la creazione di un'autorità esterna
NOTA: Contattare l'amministratore AD/LDAP per verificare quali campi AD/LDAP specifici sono necessari per l'ambiente in uso.
 
4) Una volta compilati tutti i campi, fare clic su OK per aggiungere la nuova autorità.
5) È possibile utilizzare il comando authc_mgmt sul server NetWorker per verificare che i gruppi/utenti AD/LDAP siano visibili: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Adesempio: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
NOTA: Su alcuni sistemi, i comandi authc potrebbero avere esito negativo con un errore di "password errata" anche quando viene fornita la password corretta. Ciò è dovuto alla password specificata come testo visibile con l'opzione "-p". In questo caso, rimuovere "-p password" dai comandi. Verrà richiesto di immettere la password nascosta dopo l'esecuzione del comando.
 
6) Quando si esegue l'accesso a NMC come account amministratore NetWorker predefinito, aprire Setup-->Users and Roles-->NMC Roles. Aprire le proprietà del ruolo "Console Application Administrators" e immettere il nome distinto di un gruppo AD/LDAP (raccolto nel passaggio 5) nel campo Ruoli esterni. Per gli utenti che richiedono le stesse autorizzazioni di livello dell'account amministratore NetWorker predefinito, sarà inoltre necessario specificare il DN del gruppo AD/LDAP nel ruolo "Console Security Administrators". Per gli utenti/gruppi che non necessitano dei diritti di amministratore per la console NMC, aggiungere il proprio nome di dominio completo nei ruoli esterni "Utente console".
 
NOTA: Per impostazione predefinita, esiste già il DN del gruppo local administrators del server NetWorker; NON eliminarlo.

7) Le autorizzazioni di accesso devono essere applicate anche per ogni server NetWorker configurato in NMC. Questa operazione può essere eseguita in uno dei due modi seguenti:

Opzione 1)
Connettere il server NetWorker da NMC, aprire Server-->User Groups. Aprire le proprietà del ruolo "Application Administrators" e immettere il nome distinto (DN) di un gruppo AD/LDAP (raccolto nel passaggio 5) nel campo Ruoli esterni. Per gli utenti che richiedono le stesse autorizzazioni di livello dell'account amministratore NetWorker predefinito, è necessario specificare il DN del gruppo AD/LDAP nel ruolo "Security Administrators".

NOTA: Per impostazione predefinita, esiste già il DN del gruppo local administrators del server NetWorker; NON eliminarlo.
 
Opzione 2)
Per gli utenti/gruppi AD a cui si desidera concedere diritti di amministratore per il comando nsraddadmin, è possibile eseguire il comando da un prompt dei comandi admin o root sul server NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Esempio:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) accedere a NMC utilizzando l'account AD/LDAP (ad esempio, dominio\utente):
Esempio di accesso utente di NetWorker Management Console AD
Se è stato utilizzato un tenant diverso dal tenant predefinito, è necessario specificarlo prima del dominio, ad esempio: tenant\dominio\utente.
L'account utilizzato verrà visualizzato nell'angolo in alto a destra. L'utente ha la possibilità di eseguire azioni in base ai ruoli assegnati in NetWorker.

9) Se si desidera che un gruppo AD/LDAP sia in grado di gestire le autorità esterne, è necessario eseguire le seguenti operazioni sul server NetWorker.
a) Aprire un prompt dei comandi amministrativo/root.
b) Utilizzando il DN del gruppo AD (raccolto nel passaggio 5) si desidera concedere FULL_CONTROL autorizzazione per l'esecuzione: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Adesempio:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

Interfaccia utente NW Di NetWorker: Come configurare AD/LDAP dall'interfaccia
utente web di NetWorkerNetworker: Come configurare LDAP/AD utilizzando gli script
authc_configNetworker: Come configurare l'autenticazione LDAPS.

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000156107
Article Type: How To
Last Modified: 14 Jan 2025
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.