NetWorker: Einrichten der AD/LDAP-Authentifizierung

Summary: Dieser Wissensdatenbank-Artikel bietet eine Übersicht darüber, wie Sie netWorker mithilfe des Assistenten für externe Autoritäten der NetWorker Management Console (NMC) externe Autorität hinzufügen können. Active Directory (AD) oder Linux LDAP-Authentifizierung kann zusammen mit dem Standardmäßigen NetWorker-Administratorkonto oder anderen lokalen NMC-Konten verwendet werden. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

HINWEIS: Für AD-over-SSL-Integrationen sollte die NetWorker-Webbenutzeroberfläche verwendet werden, um die externe Autorität zu konfigurieren. Siehe NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker Web User Interface (NWUI).

Melden Sie sich bei der NetWorker Management Console (NMC) mit dem Standardmäßigen NetWorker-Administratorkonto an. Auf der Registerkarte Setup –> Benutzer und Rollen gibt es eine neue Option für externe Autorität.

 

NetWorker Management Console-Setup-Fenster für externes Autoritäts-Repository
Sie können weiterhin die Befehle authc_config und authc_mgmt für die Abfrage von Konfigurationen und AD/LDAP-Benutzern und -Gruppen verwenden. es wird jedoch empfohlen, nmC zu verwenden, um AD/LDAP zu NetWorker hinzuzufügen.
 
1) Um eine neue Autoritäthinzuzufügen, klicken Sie mit der rechten Maustaste im Fenster Externe Autorität und wählen Sie Neu aus.
2) Im Feld Externe Authentifizierungsstelle müssen Sie die erforderlichen Felder mit Ihren AD-/LDAP-Informationen ausfüllen.
3) Aktivieren Sie das Kontrollkästchen "Show Advanced Options", um alle Felder anzuzeigen.
Servertyp Wählen Sie LDAP aus, wenn der Authentifizierungsserver ein Linux/UNIX-LDAP-Server ist, Active Directory, wenn Sie einen Microsoft Active Directory-Server verwenden.
Name der Zertifizierungsstelle Geben Sie einen Namen für diese externe Authentifizierungsstelle an. Dieser Name kann beliebig sein, er ist nur zwischen anderen Autoritäten zu unterscheiden, wenn mehrere konfiguriert sind.
Name des Anbieterservers Dieses Feld sollte den vollständig qualifizierten Domainnamen (FQDN) Ihres AD- oder LDAP-Servers enthalten.
Mieter Mandanten können in Umgebungen verwendet werden, in denen mehr als eine Authentifizierungsmethode verwendet werden kann und/oder wenn mehrere Zertifizierungsstellen konfiguriert werden müssen. Standardmäßig ist der Mandant "Default" ausgewählt. Die Verwendung von Mandanten ändert Ihre Anmeldemethode. Wenn der Standardmandant verwendet wird, können Sie sich mit "domain\user" beim NMC anmelden, wenn ein anderer Mandant als der Standardmandant verwendet wird, müssen Sie bei der Anmeldung bei NMC "tenant\domain\user" angeben.
Domäne Geben Sie Ihren vollständigen Domainnamen an (mit Ausnahme eines Hostnamens). In der Regel handelt es sich hierbei um Ihren Basis-DN, der aus Den Domain Component (DC)-Werten Ihrer Domain besteht. 
Portnummer Verwenden Sie für die LDAP- und AD-Integration Port 389. Verwenden Sie für LDAP über SSL Port 636. Diese Ports sind Nicht-NetWorker-Standardports auf dem AD/LDAP-Server.
Nutzer-DN Geben Sie den Distinguished Name (DN) eines Benutzerkontos an, das uneingeschränkten Lesezugriff auf das LDAP- oder AD-Verzeichnis hat.
Geben Sie den relativen DN des Benutzerkontos oder den vollständigen DN an, wenn der im Feld Domain festgelegte Wert überschrieben wird.
Nutzer-DN-Kennwort Geben Sie das Passwort des angegebenen Benutzerkontos an.
Gruppenobjektklasse Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
  • Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames
    • Hinweis: Es gibt andere Gruppenobjektklassen außer groupOfUniqueNames und groupOfNames.  Verwenden Sie die Objektklasse, die im LDAP-Server konfiguriert ist.
  • Verwenden Sie für AD die Gruppe.
Gruppensuchpfad Dieses Feld kann leer gelassen werden, in diesem Fall kann authc die gesamte Domain abfragen. Berechtigungen müssen für den NMC-/NetWorker-Serverzugriff gewährt werden, bevor diese Benutzer/Gruppen sich beim NMC anmelden und den NetWorker-Server managen können. Geben Sie den relativen Pfad zur Domain anstelle des vollständigen DN an.
Attribut "Gruppenname" Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
Gruppenmitgliedsattribut Die Gruppenmitgliedschaft des Benutzers innerhalb einer Gruppe.
  • Für LDAP:
    • Wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut häufig Mitglied.
    • Wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut häufig uniquemember.
  •  Bei AD ist der Wert in der Regel Member.
Benutzerobjektklasse Die Objektklasse, die die Benutzer in der LDAP- oder AD-Hierarchie identifiziert.
Beispiel: inetOrgPerson oder User
Benutzersuchpfad Wie beim Gruppensuchpfad kann dieses Feld leer gelassen werden, in diesem Fall kann authc die vollständige Domain abfragen. Geben Sie den relativen Pfad zur Domain anstelle des vollständigen DN an.
Benutzer-ID-Attribut Die Benutzer-ID, die dem Benutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
  • Für LDAP ist dieses Attribut häufig uid.
  • Für AD ist dieses Attribut in der Regel sAMAccountName.
Beispiel: Active Directory-Integration:
Assistent zur Erstellung externer Zertifizierungsstellen
HINWEIS: Wenden Sie sich an Ihren AD/LDAP-Administrator, um zu bestätigen, welche AD-/LDAP-spezifischen Felder für Ihre Umgebung erforderlich sind.
 
4) Sobald alle Felder ausgefüllt sind, klicken Sie auf OK, um die neue Autorität hinzuzufügen.
5) Sie können den Befehl authc_mgmt auf Ihrem NetWorker-Server verwenden, um zu bestätigen, dass die AD-/LDAP-Gruppen/-Benutzer sichtbar sind: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Z. B.: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
HINWEIS: Auf einigen Systemen können die authc-Befehle mit einem Fehler "incorrect password" fehlschlagen, selbst wenn das richtige Passwort angegeben wird. Dies liegt daran, dass das Passwort als sichtbarer Text mit der Option "-p" angegeben wird. Wenn dies auftritt, entfernen Sie "-p password" aus den Befehlen. Sie werden aufgefordert, das kennwort einzugeben, das nach dem Ausführen des Befehls ausgeblendet wurde.
 
6) Wenn Sie beim NMC als Standardmäßiges NetWorker-Administratorkonto angemeldet sind, öffnen Sie Setup-Benutzer> und Rollen-NMC-Rollen>. Öffnen Sie die Eigenschaften der Rolle "Console Application Administrators" und geben Sie den Distinguished Name (DN) einer AD/LDAP-Gruppe (erfasst in Schritt 5) in das Feld externe Rollen ein. Für Benutzer, die dieselben Berechtigungen wie das Standardmäßige NetWorker-Administratorkonto benötigen, müssen Sie auch den AD/LDAP-Gruppen-DN in der Rolle "Console Security Administrators" angeben. Fügen Sie für Benutzer/Gruppen, die keine Administratorrechte für die NMC-Konsole benötigen, ihren vollständigen DN in den externen Rollen "Console User" hinzu.
 
HINWEIS: Standardmäßig ist bereits der DN der lokalen Administratorgruppe des NetWorker-Servers vorhanden. Löschen Sie diesen NICHT.

7) Zugriffsberechtigungen müssen auch pro NetWorker-Server angewendet werden, der in NMC konfiguriert ist. Dies kann auf eine von zwei Arten erfolgen:

Option 1)
Verbinden Sie den NetWorker-Server über die NMC, öffnen Sie Server –> Benutzergruppen. Öffnen Sie die Eigenschaften der Rolle "Anwendungsadministratoren" und geben Sie den Distinguished Name (DN) einer AD/LDAP-Gruppe (erfasst in Schritt 5) in das Feld externe Rollen ein. Für Benutzer, die dieselben Berechtigungen wie das Standardmäßige NetWorker-Administratorkonto benötigen, müssen Sie den AD/LDAP-Gruppen-DN in der Rolle "Security Administrators" angeben.

HINWEIS: Standardmäßig ist bereits der DN der lokalen Administratorgruppe des NetWorker-Servers vorhanden. Löschen Sie diesen NICHT.
 
Option 2)
Für AD-Benutzer/-Gruppen, die Administratorrechte für den Befehl nsraddadmin gewähren möchten, kann über eine Administrator- oder Root-Eingabeaufforderung auf dem NetWorker-Server ausgeführt werden: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Beispiel:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) Melden Sie sich mit Ihrem AD/LDAP-Konto beim NMC an (z. B. domain\user):
NetWorker Management Console AD – Benutzeranmeldebeispiel
Wenn ein anderer Mandant als der Standardmandant verwendet wurde, müssen Sie ihn vor der Domain angeben, z. B.: tenant\domain\user.
Das verwendete Konto wird in der oberen rechten Ecke angezeigt. Der Benutzer kann Aktionen basierend auf den in NetWorker zugewiesenen Rollen durchführen.

9) Wenn Sie möchten, dass eine AD-/LDAP-Gruppe externe Zertifizierungsstellen managen kann, müssen Sie auf dem NetWorker-Server Folgendes ausführen.
a) Öffnen Sie eine Administrative/Root-Eingabeaufforderung.
b) Mithilfe des (in Schritt 5 erfassten) AD-Gruppen-DN möchten Sie FULL_CONTROL Ausführungsberechtigung erteilen: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Z. B.:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

NetWorker NWUI: Konfigurieren von AD/LDAP über die NetWorker-Webbenutzeroberfläche
Networker: Einrichten von LDAP/AD mithilfe von authc_config-Skripten
Networker: Konfigurieren der LDAPS-Authentifizierung

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000156107
Article Type: How To
Last Modified: 14 Jan 2025
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.