NetWorker : Configuration de l’authentification AD/LDAP

Sommaire: Cet article de la base de connaissances fournit une présentation de l’ajout d’une autorité externe à NetWorker à l’aide de l’Assistant d’autorité externe de NetWorker Management Console (NMC). L’authentification Active Directory (AD) ou Linux LDAP peut être utilisée avec le compte administrateur NetWorker par défaut ou d’autres comptes NMC locaux. ...

Cet article s’applique à Cet article ne s’applique pas à Cet article n’est lié à aucun produit spécifique. Toutes les versions de produits ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Remarque : pour les intégrations AD sur SSL, l’interface utilisateur Web NetWorker doit être utilisée pour configurer l’autorité externe. Voir NetWorker : configuration « d’AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI) (en anglais).

 

Les ressources d’autorité externe peuvent être créées et gérées à partir de NetWorker Management Console (NMC), de l’interface utilisateur Web NetWorker (NWUI) ou des scripts AUTHC :

  • NetWorker Management Console (NMC) : connectez-vous à NMC à l’aide du compte administrateur NetWorker. Accédez à Configuration->Utilisateurs et rôles->Autorités externes.
  • Interface utilisateur Web NetWorker (NWUI) : connectez-vous à NWUI à l’aide du compte administrateur NetWorker. Accédez à Serveur d’authentification->Autorités externes.
Remarque : cet article de la base de connaissances explique comment ajouter AD/LDAP à l’aide de NMC. Pour obtenir des instructions détaillées sur l’utilisation de NWUI, voir : NetWorker : configuration d’AD/LDAP à partir de l’interface utilisateur Web NetWorker (en anglais).

Conditions préalables :

L’authentification externe (AD ou LDAP) est intégrée à la base de données du serveur d’authentification NetWorker (AUTHC). Elle ne fait pas directement partie des bases de données NMC ou NWUI. Dans les environnements avec un seul serveur NetWorker, le serveur NetWorker est l’hôte AUTHC. Dans les environnements comportant plusieurs serveurs NetWorker, gérés via une seule NMC, seul l’un des serveurs NetWorker est le serveur AUTHC. Il est nécessaire de déterminer l’hôte AUTHC pour les commandes authc_mgmt utilisées dans les étapes ultérieures de cet article. Le serveur AUTHC est identifié dans le serveur de NetWorker Management Console (NMC) gstd.conf fichier :

  • Linux : /opt/lgtonmc/etc/gstd.conf
  • Windows (par défaut) : C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    Remarque : La commande gstd.conf fichier contient une chaîne authsvc_hostname qui définit le serveur d’authentification utilisé pour traiter les demandes de connexion pour NetWorker Management Console (NMC).

Process:

Connectez-vous à NetWorker Management Console (NMC) avec votre compte administrateur NetWorker par défaut. Sous l’onglet Configuration -->Utilisateurs et rôles, une nouvelle option a été ajoutée pour Autorité externe.

Fenêtre de configuration de NetWorker Management Console pour le référentiel d’autorité externe
 
  1. Pour ajouter une nouvelle autorité, cliquez avec le bouton droit de la souris dans la fenêtre Autorité externe et sélectionnez Nouveau.
  2. Dans la case Autorité d’authentification externe, vous devez renseigner les champs obligatoires avec vos informations AD/LDAP.
  3. Cochez la case « Afficher les options avancées » pour afficher tous les champs.
Type de serveur Sélectionnez LDAP si le serveur d’authentification est un serveur LDAP Linux/UNIX, Active Directory si vous utilisez un serveur Microsoft Active Directory.
Nom de l’autorité Indiquez un nom pour cette autorité d’authentification externe. Ce nom peut correspondre à ce que vous souhaitez, il sert uniquement à différencier les autres autorités lorsque plusieurs sont configurées.
Nom du serveur du fournisseur Ce champ doit contenir le nom de domaine complet (FQDN) de votre serveur AD ou LDAP.
Client Des clients peuvent être utilisés dans des environnements où plusieurs méthodes d’authentification peuvent être utilisées ou lorsque plusieurs autorisations doivent être configurées. Par défaut, le client « par défaut » est sélectionné. L’utilisation de clients modifie votre méthode de connexion. Connectez-vous à NMC avec « domain\user » pour le client par défaut ou avec « tenant\domain\user » pour les autres clients.
Domaine Spécifiez votre nom de domaine complet (à l’exception d’un nom d’hôte). En général, il s’agit de votre nom unique (DN) de base, qui se compose des valeurs de composant de domaine (DC) de votre domaine. 
Numéro de port Pour l’intégration LDAP et AD, utilisez le port 389. Pour LDAP sur SSL, utilisez le port 636. Ces ports ne sont pas des ports NetWorker par défaut sur le serveur AD/LDAP.
Remarque : modifier le port en 636 n’est pas suffisant pour configurer SSL. Le certificat CA (et la chaîne, si une chaîne est utilisée) doit être importé du serveur de domaine vers le serveur AUTHC. Voir NetWorker : configuration « d’AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI) (en anglais).
DN d’utilisateur Indiquez le Nom unique Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies. (DN) d’un compte d’utilisateur disposant d’un accès complet en lecture au répertoire LDAP ou AD.
Spécifiez le DN relatif du compte d’utilisateur ou le DN complet si vous remplacez la valeur définie dans le champ domaine.
Mot de passe DN d’utilisateur Spécifiez le mot de passe du compte d’utilisateur spécifié.
Classe d’objets du groupe Classe d’objets qui identifie les groupes dans la hiérarchie LDAP ou AD.
  • Pour LDAP, utilisez groupOfUniqueNames ou groupOfNames 
    • Remarque : Il existe d’autres classes d’objets de groupe en dehors de groupOfUniqueNames et groupOfNames.  Utilisez la classe d’objets configurée dans le serveur LDAP.
  • Pour AD, utilisez group
Chemin de recherche du groupe Ce champ peut être laissé vide, auquel cas AUTHC peut interroger l’ensemble du domaine. Pour que ces utilisateurs/groupes puissent se connecter à NMC et gérer le serveur NetWorker, vous devez accorder des autorisations pour accéder au serveur NMC/NetWorker. Spécifiez le chemin relatif vers le domaine au lieu du DN complet.
Attribut Nom du groupe Attribut qui identifie le nom du groupe ; par exemple, cn.
Attribut Membre du groupe Indique l’appartenance de l’utilisateur à un groupe.
  • Pour LDAP :
    • Lorsque la classe d’objets de groupe est groupOfNames, l’attribut est généralement member.
    • Lorsque la classe d’objets de groupe est groupOfUniqueNames, l’attribut est généralement uniquemember.
  •  Pour AD, la valeur est généralement member.
Classe d’objets utilisateur Classe d’objets qui identifie les utilisateurs dans la hiérarchie LDAP ou AD.
Par exemple, inetOrgPerson ou user
Chemin de recherche utilisateur À l’instar du chemin de recherche de groupe, ce champ peut être laissé vide, auquel cas AUTHC peut interroger l’ensemble du domaine. Spécifiez le chemin relatif vers le domaine au lieu du DN complet.
Attribut d’ID utilisateur ID utilisateur associé à l’objet utilisateur dans la hiérarchie LDAP ou Active Directory.
  • Pour LDAP, cet attribut est généralement uid.
  • Pour AD, cet attribut est généralement sAMAccountName.
Par exemple, l’intégration d’Active Directory :
Exemple d’ajout de l’authentification Active Directory à NetWorker
Remarque : Consultez votre administrateur AD/LDAP pour confirmer quels champs spécifiques AD/LDAP sont nécessaires pour votre environnement.
 
  1. Une fois tous les champs renseignés, cliquez sur OK pour ajouter la nouvelle autorité.
  2. Vous pouvez utiliser la commande authc_mgmt sur votre serveur NetWorker AUTHC pour confirmer que les groupes/utilisateurs AD/LDAP sont visibles :
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Par exemple : 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
Remarque : sur certains systèmes, les commandes AUTHC peuvent échouer avec une erreur « mot de passe incorrect », même lorsque le mot de passe correct est fourni. Cela est dû au fait que le mot de passe est spécifié en tant que texte visible avec l’option « -p ». Si vous rencontrez ce problème, supprimez « -p password » dans les commandes. Vous serez invité à saisir le mot de passe masqué après l’exécution de la commande.
 
  1.  Lorsque vous êtes connecté à NMC en tant que compte administrateur NetWorker par défaut, ouvrez Configuration-->Utilisateurs et rôles-->Rôles NMC. Ouvrez les propriétés du rôle « Console Application Administrators » et saisissez le nom unique Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies. (DN) d’un groupe AD/LDAP (collecté à l’étape 5) dans le champ « Rôles externes ». Pour les utilisateurs qui ont besoin du même niveau d’autorisations que le compte d’administrateur NetWorker par défaut, spécifiez le nom unique du groupe AD/LDAP dans le rôle « Console Security Administrators ». Pour les utilisateurs/groupes qui n’ont pas besoin de droits d’administration sur la console NMC, ajoutez leur nom unique complet dans les rôles externes de « Console User ».
Remarque : par défaut, le nom unique du groupe d’administrateurs LOCAUX du serveur NetWorker existe déjà. Ne le supprimez PAS.
  1. Les autorisations d’accès doivent également être appliquées par le serveur NetWorker configuré dans NMC. Cela peut être effectué de l’une des deux manières suivante :
Option 1)
Connectez le serveur NetWorker à partir de NMC, ouvrez « Server » --> « User Groups ». Ouvrez les propriétés du rôle « Application Administrators » et saisissez le nom unique Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies. (DN) d’un groupe AD/LDAP (collecté à l’étape 5) dans le champ « Rôles externes ». Pour les utilisateurs qui ont besoin du même niveau d’autorisations que le compte administrateur NetWorker par défaut, vous devez spécifier le nom unique du groupe AD/LDAP dans le rôle « Security Administrators ».

Remarque : par défaut, le nom unique du groupe d’administrateurs LOCAUX du serveur NetWorker existe déjà. Ne le supprimez PAS.
 
Option 2)
Pour les utilisateurs/groupes AD, auxquels vous souhaitez accorder des droits d’administrateur, la commande nsraddadmin peut être exécutée à partir d’une invite de commande administrateur ou root sur le serveur NetWorker : 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Exemple :  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Connectez-vous à NMC à l’aide de votre compte AD/LDAP (par exemple, domaine\utilisateur) :
Exemple de connexion en tant qu’utilisateur externe
Si un client autre que le client par défaut a été utilisé, vous devez l’indiquer avant le domaine, par exemple : client\domaine\utilisateur.
Le compte utilisé s’affiche dans le coin supérieur droit. L’utilisateur peut effectuer des actions en fonction des rôles attribués dans NetWorker.
Exemple d’affichage de l’utilisateur externe une fois connecté
  1. (FACULTATIF) Si vous souhaitez qu’un groupe AD/LDAP puisse gérer les autorisations externes, vous devez effectuer les opérations suivantes sur le serveur NetWorker.
    1. Ouvrez une invite de commande d’administration/root.
    2. À l’aide du numéro unique du groupe AD (collecté à l’étape 5) auquel vous souhaitez accorder l’autorisation FULL_CONTROL , exécutez :
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Par exemple : 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Renseignements supplémentaires

Produits touchés

NetWorker

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000156107
Type d’article: How To
Dernière modification: 16 déc. 2025
Version:  10
Obtenez des réponses à vos questions auprès d’autre utilisateurs de Dell
Services de soutien
Vérifiez si votre appareil est couvert par les services de soutien.