NetWorker:AD/LDAP認証を設定する方法

Summary: このKBでは、NMC(NetWorker Management Console)の外部権限ウィザードを使用してNetWorkerに外部権限を追加する方法の概要について説明します。Active Directory(AD)またはLinux LDAP認証は、デフォルトのNetWorker管理者アカウントまたは他のローカルNMCアカウントと一緒に使用できます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

メモ: AD over SSL統合の場合は、NetWorker Webユーザー インターフェイスを使用して外部機関を構成する必要があります。NetWorkerを参照してください。NETWorker Webユーザー インターフェイス(NWUI)から「AD over SSL」(LDAPS)を構成する方法

デフォルトのNetWorker管理者アカウントを使用して、NMC(NetWorker Management Console)にログインします。[Setup]タブの>[User and Roles]には、[External Authority]の新しいオプションがあります。

 

外部機関リポジトリのNetWorker管理コンソールのセットアップ ウィンドウ
authc_configコマンドとauthc_mgmt コマンドを使用して、構成とAD/LDAPユーザーおよびグループのクエリーを実行できます。ただし、NMCを使用してAD/LDAPをNetWorkerに追加することをお勧めします。
 
1)新しい権限を追加するには、[External Authority]ウィンドウで右クリックし、[New]を選択します。
2)[外部認証機関]ボックスで、AD/LDAP情報を必須フィールドに入力する必要があります。
3)[詳細オプションの表示]ボックスをオンにして、すべてのフィールドを表示します
サーバー タイプ 認証サーバが Linux/UNIX LDAP サーバの場合は LDAP を選択し、Microsoft Active Directory サーバを使用している場合は Active Directory を選択します。
権限名 この外部認証機関の名前を入力します。この名前は、任意の名前にすることができます。複数の権限が構成されている場合は、他の権限を区別するだけです。
プロバイダー サーバー名 このフィールドには、ADまたはLDAPサーバーの完全修飾ドメイン名(FQDN)が含まれている必要があります。
テナント テナントは、複数の認証方法を使用できる環境や、複数の権限を構成する必要がある場合に使用できます。デフォルトでは、「default」テナントが選択されています。テナントを使用すると、ログイン方法が変更されます。デフォルト テナントを使用する場合は、「domain\user」を使用してNMCにログインできます。デフォルト テナント以外のテナントを使用する場合は、NMCにログインするときに「tenant\domain\user」を指定する必要があります。
ドメイン 完全なドメイン名(ホスト名を除く)を指定します。通常、これはドメインのドメイン コンポーネント(DC)値で構成されるベースDNです。 
ポート番号 LDAPおよびAD統合の場合は、ポート389を使用します。LDAP over SSLの場合は、ポート636を使用します。これらのポートは、AD/LDAPサーバー上のNetWorker以外のデフォルト ポートです。
[User DN]: LDAPまたはADディレクトリへの完全な読み取りアクセス権を持つユーザー アカウントのDN(識別名 )を指定します。
ドメイン フィールドで設定された値を上書きする場合は、ユーザー アカウントの相対DN、またはフルDNを指定します。
[User DN Password]: 指定したユーザー アカウントのパスワードを指定します。
グループ オブジェクト クラス LDAPまたはAD階層内のグループを識別するオブジェクト クラス。
  • LDAPの場合は、 groupOfUniqueNames または groupOfNames を使用します。 
    • メモ: groupOfUniqueNamesとgroupOfNames以外にもグループ オブジェクト クラスがあります。  LDAPサーバーで構成されているオブジェクト クラスを使用します。
  • ADの場合は、 group を使用 します
グループ検索パス このフィールドは空白のままにすることができます。この場合、authcはドメイン全体のクエリーを実行できます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理する前に、NMC/NetWorkerサーバー アクセスの権限を付与する必要があります。完全なDNではなく、ドメインへの 相対 パスを指定します。
グループ名属性 グループ名を識別する属性。たとえば、 cn
グループ メンバー属性 グループ内のユーザーのグループ メンバーシップ。
  • LDAPの場合:
    • グループ オブジェクト クラスが groupOfNamesの場合、 属性は一般的に メンバーです
    • グループ オブジェクト クラスが groupOfUniqueNamesの場合、 属性は一般的に 一意のメンバーです
  •  ADの場合、値は一般的に メンバーです。
ユーザー オブジェクト クラス LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。
たとえば、 inetOrgPerson または user
ユーザー検索パス グループ検索パスと同様に、このフィールドは空白のままにすることができます。この場合、authcはドメイン全体のクエリーを実行できます。完全なDNではなく、ドメインへの 相対 パスを指定します。
ユーザーID属性 LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。
  • LDAPの場合、この属性は一般的に uidです
  • ADの場合、この属性は一般的に sAMAccountNameです
たとえば、Active Directoryの統合:
外部機関作成ウィザード
メモ: AD/LDAP管理者に相談して、ご使用の環境に必要なAD/LDAP固有のフィールドを確認します。
 
4)すべてのフィールドが入力されたら、[ OK ]をクリックして新しい権限を追加します。
5)NetWorkerサーバーでauthc_mgmtコマンドを使用して、AD/LDAPグループ/ユーザーが表示されていることを確認できます。 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
例: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
メモ: 一部のシステムでは、正しいパスワードが指定されている場合でも、authcコマンドが「不正なパスワード」エラーで失敗することがあります。これは、パスワードが「-p」オプションで表示可能なテキストとして指定されているためです。この問題が発生した場合は、コマンドから「-p password」を削除します。コマンドを実行した後、非表示のパスワードを入力するように求められます。
 
6)デフォルトのNetWorker管理者アカウントとしてNMCにログインした場合は、 Setup-Users> and Roles-->NMC Roles を開きます。[Console Application Administrators]ロールのプロパティを開き、[External Roles]フィールドにAD/LDAPグループのDN(識別名 )(ステップ5で収集)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「コンソール セキュリティ管理者」ロールでAD/LDAPグループDNを指定する必要もあります。NMCコンソールに対する管理者権限を必要としないユーザー/グループの場合は、「コンソール ユーザー」の外部ロールに完全なDNを追加します。
 
メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これを削除しないでください。

7)NMCで構成されたNetWorkerサーバーごとにアクセス権限も適用する必要があります。これは、オプション1の2つの方法

のいずれかで実行できます。
NMCからNetWorkerサーバーを接続し、 Server-->User Groups を開きます。[アプリケーション管理者]ロールのプロパティを開き、[外部の役割]フィールドにAD/LDAPグループのDN(識別名 )(ステップ5で収集)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「セキュリティ管理者」ロールでAD/LDAPグループDNを指定する必要があります。

メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これを削除しないでください。
 
オプション2)
ADユーザー/グループの場合、nsraddadminコマンドに管理者権限を付与する場合は、NetWorkerサーバーのadminまたはrootコマンド プロンプトから実行できます。 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
例:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8)AD/LDAPアカウント(domain\userなど)を使用してNMCにログインします。
NetWorker管理コンソールADユーザー ログインの例
デフォルトテナント以外のテナントを使用した場合は、ドメインの前にテナントを指定する必要があります(例:tenant\domain\user)。
使用されているアカウントが右上隅に表示されます。ユーザーは、NetWorkerで割り当てられたロールに基づいてアクションを実行できます。

9)AD/LDAPグループが外部機関を管理できるようにするには、NetWorkerサーバーで次の手順を実行する必要があります。
a) 管理/rootコマンド プロンプトを開きます。
b) ADグループDN(ステップ5で収集)を使用して、実行する権限FULL_CONTROL付与します。 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
例:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

NetWorker NWUI:NetWorker Webユーザー インターフェイスからAD/LDAPを構成する方法
Networker:authc_configスクリプトを使用してLDAP/ADをセットアップする方法
Networker:LDAPS認証を構成する方法。

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000156107
Article Type: How To
Last Modified: 14 Jan 2025
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.