NetWorker: Cómo configurar la autenticación de AD/LDAP

Los recursos de autoridad externa se pueden crear y administrar desde NetWorker Management Console (NMC), NetWorker Web User Interface (NWUI) o los scripts de ATHHC:

• NetWorker Management Console (NMC): Inicie sesión en NMC con la cuenta de administrador de NetWorker. Vaya a Configuración-Usuarios>y funciones-Autoridades>externas.
• Interfaz del usuario web de NetWorker (NMC): Inicie sesión en NWUI con la cuenta de administrador de NetWorker. Vaya a Servidor de autenticación:>autoridades externas.

• Scripts: NetWorker: Cómo configurar LDAP/AD mediante scripts authc_config

Requisitos previos:

La autenticación externa (AD o LDAP) está integrada en la base de datos del servidor de autenticación de NetWorker (AUTHC). No forma parte directamente de las bases de datos de NMC o NWUI. En ambientes con un solo NetWorker Server, NetWorker Server es el host de AUTHC. En entornos con múltiples servidores NetWorker Server, administrados a través de un solo NMC, solo uno de los servidores NetWorker Server es el servidor AUTHC. La determinación del host AUTHC es necesaria para la authc_mgmt comandos utilizados en pasos posteriores de este artículo. El servidor AUTHC se identifica en el servidor de NetWorker Management Console (NMC) gstd.conf archivo:

• Linux: /opt/lgtonmc/etc/gstd.conf
• Windows (valor predeterminado): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
  
  NOTA: La variable gstd.conf contiene una cadena authsvc_hostname que define el servidor de autenticación que se utiliza para procesar las solicitudes de inicio de sesión para NetWorker Management Console (NMC).

Proceso:

Inicie sesión en NetWorker Management Console (NMC) con la cuenta predeterminada de administrador de NetWorker. En la pestaña Configuración:>Usuarios y funciones, hay una nueva opción para Autoridad externa.

Tipo de servidor	Seleccione LDAP si el servidor de autenticación es un servidor LDAP de Linux/UNIX y seleccione Active Directory si utiliza un servidor de Microsoft Active Directory.
Nombre de la autoridad	Proporcione un nombre para esta autoridad de autenticación externa. Este nombre puede ser el que usted quiera, es solo para diferenciar entre otras autoridades cuando se configuran varias.
Nombre del servidor del proveedor	Este campo debe contener el nombre de dominio completo (FQDN) del servidor AD o LDAP.
Grupo de usuarios	Los grupos de usuarios se pueden usar en entornos donde se puede usar más de un método de autenticación o cuando se deben configurar varias autoridades. Se selecciona el grupo de usuarios “predeterminado”. El uso de grupos de usuarios modifica el método de inicio de sesión. Inicie sesión en NMC con "domain\user" para el grupo de usuarios predeterminado, o "tenant\domain\user" para otros grupos de usuarios.
Dominio	Especifique su nombre de dominio completo (sin incluir un nombre de host). Por lo general, este es el nombre distintivo (DN) base, que consta de los valores de componente de dominio (DC) de su dominio.
Número de puerto	Para la integración de LDAP y AD, utilice el puerto 389. Para LDAP mediante SSL, utilice el puerto 636. Estos puertos son puertos predeterminados que no son de NetWorker en el servidor AD/LDAP. NOTA: Cambiar el puerto a 636 no es suficiente para configurar SSL. El certificado de CA (y la cadena, si se utiliza una cadena) se debe importar desde el servidor de dominio al servidor AUTHC. Consulte NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI).
DN de Usuario	Especifique el nombre  distintivo (DN) de una cuenta de usuario que tenga acceso de lectura completo en el directorio de LDAP o AD. Especifique el DN relativo de la cuenta de usuario o el DN completo si reemplaza el valor establecido en el campo Dominio.
Contraseña de DN de usuario	Especifique la contraseña de la cuenta de usuario especificada.
Clase de objeto de grupo	La clase de objeto que identifica a los grupos en la jerarquía de LDAP o AD. Para LDAP, utilice groupOfUniqueNames o groupOfNames  NOTA: Existen otras clases de objetos de grupo además de groupOfUniqueNames y groupOfNames.  Utilice cualquier clase de objeto que esté configurada en el servidor LDAP. Para AD, utilice group
Ruta de búsqueda de grupo	Este campo se puede dejar en blanco, en cuyo caso AUTHC es capaz de consultar el dominio completo. Se deben otorgar permisos para el acceso al servidor de NMC/NetWorker antes de que estos usuarios/grupos puedan iniciar sesión en NMC y administrar el servidor de NetWorker. Especifique la ruta relativa al dominio en lugar del DN completo.
Atributo de nombre de grupo	El atributo que identifica el nombre del grupo; Por ejemplo, cn.
Atributo de miembro del grupo	Especifica la membresía de grupo del usuario dentro de un grupo. Para LDAP: Cuando la clase de objeto de grupo es groupOfNames, el atributo suele ser member. Cuando la clase de objeto de grupo es groupOfUniqueNames, el atributo suele ser uniquemember.  Para AD, el valor suele ser member.
Clase de objeto de usuario	La clase de objeto que identifica a los usuarios en la jerarquía de LDAP o AD. Por ejemplo, inetOrgPerson o user
Ruta de búsqueda de usuario	Al igual que la ruta de búsqueda de grupo, este campo se puede dejar en blanco, en cuyo caso AUTHC es capaz de consultar el dominio completo. Especifique la ruta relativa al dominio en lugar del DN completo.
Atributo de ID de usuario	El ID de usuario asociado con el objeto de usuario en la jerarquía de LDAP o AD. Para LDAP, este atributo suele ser uid. Para AD, este atributo suele ser sAMAccountName.

Por ejemplo, la integración de Active Directory:

authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

6.  Cuando inicie sesión en NMC como la cuenta predeterminada de administrador de NetWorker, abra Configuración-->Usuarios y funciones--Funciones de> NMC. Abra las propiedades de la función "Administradores de aplicaciones de consola" e ingrese el nombre  distintivo (DN) de un grupo de AD/LDAP (recopilado en el paso 5) en el campo funciones externas. Para los usuarios que requieren permisos predeterminados de administrador de NetWorker, especifique el DN del grupo de AD/LDAP en la función "Administradores de seguridad de Console". Para los usuarios/grupos que no necesitan derechos administrativos para la consola de NMC, agregue su DN completo en "Console User": external roles.

Conecte NetWorker Server desde NMC y abra Server-->User Groups. Abra las propiedades de la función "Application Administrators" e ingrese el nombre distintivo (DN) de un grupo de AD/LDAP (recopilado en el paso 5) en el campo external roles. Para los usuarios que requieren los mismos permisos de nivel que la cuenta de administrador predeterminada de NetWorker, debe especificar el DN del grupo de AD/LDAP en la función "Administradores de seguridad".

nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"

nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"

authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

• NetWorker: Cómo configurar AD o LDAP desde la interfaz de usuario web de NetWorker
• NetWorker: Cómo configurar LDAP/AD mediante scripts authc_config
• NetWorker: Cómo configurar la autenticación de LDAPS
• NetWorker: El inicio de sesión de NMC falla para un usuario de AD o LDAP con el mensaje "No tiene privilegios para usar NMC"