NetWorker: Jak nakonfigurovat ověřování LDAPS

Résumé: Přehled konfigurace služby AD nebo protokolu LDAPS (Secure Lightweight Directory Access Protocol) pomocí nástroje NetWorker pomocí průvodce externí autoritou konzole NMC. Tento článek znalostní databáze lze také použít pro pokyny k aktualizaci stávající konfigurace externí autority. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Tento článek lze rozdělit do následujících částí. Než budete pokračovat, pečlivě si projděte každou z nich:

Požadavky: 

  • Určení, který hostitel je serverem authc . To je užitečné ve větších datových zónách NetWorker. V menších datových zónách s jedním serverem NetWorker je ověřovacím serverem server NetWorker. 
  • Určete, které prostředí Java Runtime Environment se používá pro ověřovací službu.
  • Nastavte proměnné příkazového řádku, které usnadní import certifikátů certifikační autority používaných pro protokol SSL s externím ověřováním NetWorker.

Nastavení protokolu SSL:

  • Shromažďování certifikátů vyžadovaných pro komunikaci SSL s externím ověřovacím serverem.
  • Import certifikátů používaných pro ověřování protokolů LDAPS do prostředí Runtime pro úložiště klíčů ověřovací služby cacerts .

Konfigurace zdroje externí autority:

  • Vytvořte prostředek externí autority v ověřovací službě.
  • Určete externí uživatele nebo skupiny, které se mají použít pro software NetWorker.
  • Definujte, kteří externí uživatelé nebo skupiny mají přístup ke konzoli NetWorker Management Console (NMC).
  • Definujte oprávnění serveru NetWorker, která mají externí uživatelé a skupiny.
  • (Volitelné) Nakonfigurujte oprávnění zabezpečení FULL_CONTROL pro externího uživatele nebo skupinu.

Požadavky:

Chcete-li použít protokol LDAPS, je nutné importovat certifikát certifikační autority (nebo řetězec certifikátů) ze serveru LDAPS do úložiště klíčů Java cacerts ověřovacího serveru NetWorker.

  1. Určete, který hostitel je ověřovacím serverem NetWorker. To lze ověřit v souboru gstd.conf serveru NetWorker Management Console (NMC):
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
POZNÁMKA: Skript gstd.conf soubor obsahuje řetězec, authsvc_hostname který definuje ověřovací server používaný ke zpracování požadavků na přihlášení do konzole NetWorker Management Console (NMC). Další informace naleznete zde: NetWorker: Jak zjistit, který server je autentizační server používaný NMC a NWUI
  1. Na ověřovacím serveru NetWorker identifikujte použitou instanci Java.
Windows:
A. Ve vyhledávacím poli v sytému Windows vyhledejte výraz Informace o počítači.
B. V nabídce Informace o počítači klikněte na položku Upřesnit nastavení systému.
C. V okně Vlastnosti systému klikněte na položku Proměnné prostředí.
D. Skript NSR_JAVA_HOME definuje cestu prostředí Java Runtime Environment používaného nástrojem NetWorker. authc:

NSR_JAVA_HOME

    1. E. Na příkazovém řádku správce nastavte proměnné příkazového řádku určující instalační cestu Java určenou v předchozím kroku:
set JAVA="Path\to\java"
Příklad:
 Příklad nastavení proměnné JAVA v systému Windows  
Využívá příkazy Java keytoolNastavení SSL a zajišťuje, že soubor cacerts správně importuje certifikát certifikační autority. Tato proměnná se po zavření relace příkazového řádku odebere a nenarušuje žádné další operace NetWorker.

Linux:

    A. Zkontrolujte soubor /nsr/authc/conf/installrc , abyste zjistili, které umístění Java bylo použito při konfiguraci ověřovací služby:

    sudo cat /nsr/authc/conf/installrc
    Příklad:
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    POZNÁMKA: Tato proměnná se vztahuje pouze na procesy NetWorker. Je možné, že echo $JAVA_HOME vrátí jinou cestu; například pokud je také nainstalováno prostředí Oracle Java Runtime Environment (JRE). V dalším kroku je důležité použít cestu $JAVA_HOME , jak je definována v nástroji NetWorker /nsr/authc/conf/installrc .

    B. Nastavte proměnné příkazového řádku určující instalační cestu Java určenou ve výše uvedeném kroku.

    JAVA=/path/to/java
    Příklad:
    nastavení proměnné java v systému Linux 
    Využívá příkazy Java keytool Nastavení SSL a zajišťuje, že soubor cacerts správně importuje certifikát certifikační autority. Tato proměnná se po zavření relace příkazového řádku odebere a nenarušuje žádné další operace NetWorker.

    Nastavení protokolu SSL

    Chcete-li použít protokol LDAPS, je nutné importovat certifikát certifikační autority (nebo řetěz certifikátů) ze serveru LDAPS do důvěryhodného úložiště klíčů JAVA. To lze provést následujícím způsobem:

    Získejte certifikát kořenové certifikační autority (a řetěz, pokud je nakonfigurovaný) z ověřovacího serveru.

    Linux:

    1. Otevřete výzvu se zvýšenými oprávněními na serveru NetWorker Authentication (AUTHC).
    2. Pomocí nástroje OpenSSL získejte kopii certifikátu certifikační autority ze serveru LDAPS.
    openssl s_client -showcerts -connect LDAPS_SERVER:636 2>/dev/null </dev/null
    • Systém Linux se obvykle dodává s nainstalovaným openssl nainstalovaná. Pokud v prostředí existují linuxové servery, můžete u nich použít openssl a shromáždit soubory certifikátů. Ty lze zkopírovat a používat na serveru se systémem Windows authc .
    • Pokud nástroj OpenSSL nemáte a nedá se nainstalovat, požádejte správce AD, aby poskytl jeden nebo více certifikátů tak, že je exportuje ve formátu x.509 s kódováním Base-64.
    • Nahradit LDAPS_SERVER s názvem hostitele nebo IP adresou vašeho LDAPS serveru.
    1. Výstupem výše uvedeného příkazu je certifikát certifikační autority nebo řetězec certifikátů ve formátu PEM (Privacy Enhanced Mail), např.:
    -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
...REMOVED FOR BREVITY...
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
    POZNÁMKA: Pokud je k dispozici řetězec certifikátů, je posledním certifikátem certifikát certifikační autority. Je nutné importovat každý certifikát v řetězci v pořadí (shora dolů) končícím certifikátem certifikační autority.
    1. Zkopírujte certifikát začínající na ---BEGIN CERTIFICATE--- a končící na ---END CERTIFICATE--- a vložte jej do nového souboru. Pokud existuje řetěz certifikátů, musíte to udělat s každým certifikátem.
    2. Přejděte na Import certifikátů.

    Windows:

    Systém Windows nemá ve výchozím nastavení nainstalovaný software OpenSSL. Pokud je nainstalován ve vašem systému, můžete postupovat podle stejných pokynů z výše uvedené části Linux . Pokud není nainstalovaný, můžete jej nainstalovat z platformy třetí strany nebo pomocí následujících kroků shromáždit certifikát bez OpenSSL.

    1. Otevřete příkazový řádek PowerShellu se zvýšenými oprávněními na serveru NetWorker Authentication (AUTHC).
    2. Spusťte následující skript a nahraďte jej EXTERNAL_AUTH_SERVER_ADDRESS s názvem hostitele LDAP nebo Active Directory (AD) nebo IP adresou:
    $server = "EXTERNAL_AUTH_SERVER_ADDRESS"
$port   = 636

$tcp = New-Object System.Net.Sockets.TcpClient
$tcp.Connect($server, $port)

$ssl = New-Object System.Net.Security.SslStream(
    $tcp.GetStream(),
    $false,
    { param($sender,$cert,$chain,$errors) $true }
)

try {
    $ssl.AuthenticateAsClient($server)

    "=== Protocol ==="
    $ssl.SslProtocol
    "=== Cipher ==="
    "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
    ""
    "=== Server Certificate ==="

    $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)

    "Subject  : $($remoteCert.Subject)"
    "Issuer   : $($remoteCert.Issuer)"
    "NotBefore: $($remoteCert.NotBefore)"
    "NotAfter : $($remoteCert.NotAfter)"
    ""

    $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
    "-----BEGIN CERTIFICATE-----"
    $b64
    "-----END CERTIFICATE-----"
}
finally {
    $ssl.Dispose()
    $tcp.Dispose()
}
    VÝSTRAHA: Tento blok skriptu je například pouze pro použití. V některých prostředích to může selhat kvůli konkrétní verzi systému Windows nebo zásadám vynucování zabezpečení v systému. Pokud není možné získat certifikáty přímo ze serveru NetWorker, obraťte se na správce domény a získejte požadovanou kořenovou certifikační autoritu a všechny zprostředkující certifikáty (jsou-li nakonfigurovány). Případně můžete ke shromáždění certifikátů použít linuxový server (jak je znázorněno ve výše uvedených pokynech pro Linux).
    Příklad:
    PS C:\Users\administrator.AMER> $server = "dc.amer.lan"
PS C:\Users\administrator.AMER> $port   = 636
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $tcp = New-Object System.Net.Sockets.TcpClient
PS C:\Users\administrator.AMER> $tcp.Connect($server, $port)
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $ssl = New-Object System.Net.Security.SslStream(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender,$cert,$chain,$errors) $true }
>> )
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> try {
>>     $ssl.AuthenticateAsClient($server)
>>
>>     "=== Protocol ==="
>>     $ssl.SslProtocol
>>     "=== Cipher ==="
>>     "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
>>     ""
>>     "=== Server Certificate (exactly what the DC sends) ==="
>>
>>     $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
>>
>>     "Subject  : $($remoteCert.Subject)"
>>     "Issuer   : $($remoteCert.Issuer)"
>>     "NotBefore: $($remoteCert.NotBefore)"
>>     "NotAfter : $($remoteCert.NotAfter)"
>>     ""
>>
>>     $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
>>     "-----BEGIN CERTIFICATE-----"
>>     $b64
>>     "-----END CERTIFICATE-----"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Protocol ===
Tls13
=== Cipher ===
Aes256 (256-bit)

=== Server Certificate ===
Subject  : CN=DC.amer.lan
Issuer   : CN=amer-DC-CA, DC=amer, DC=lan
NotBefore: 11/29/2025 01:17:22
NotAfter : 11/29/2026 01:17:22

-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgITNAAAAAT93FoJVZwLkQAAAAAABDANBgkqhkiG9w0BAQsFADBAMRMwEQYK
...REMOVED FOR BREVITY...
c1HhZw24yOwFSOtTQg==
-----END CERTIFICATE-----
    POZNÁMKA: Skript vrátí jeden certifikát, pokud existuje pouze kořenová certifikační autorita. Další certifikáty se zobrazí, pokud jsou nakonfigurovány zprostředkující certifikáty a jsou vystaveny serverem.
    1. Zkopírujte certifikát začínající na ---BEGIN CERTIFICATE--- a končící na ---END CERTIFICATE--- a vložte jej do nového souboru. Pokud existuje řetěz certifikátů, musíte to udělat s každým certifikátem.
    2. Přejděte na Import certifikátů.

    Import certifikátů:

    POZNÁMKA: Níže uvedený proces používá proměnné příkazového řádku nastavené podle části Požadavky. Pokud proměnné příkazového řádku nejsou nastavené, zadejte místo toho úplnou cestu Java.
    1. Otevřete příkazový řádek správce/uživatele root.
    2. Zobrazí seznam aktuálních důvěryhodných certifikátů v důvěryhodném úložišti.
    • Pro NetWorker 19.12.x (JRE 8.x) a starší:
    Windows:  
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Pro NetWorker 19.13 (JDK 17.x) a novější:
    Windows: 
    %JAVA%\bin\keytool -list -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -list -cacerts -storepass changeit
    3. V seznamu vyhledejte alias, který odpovídá vašemu serveru LDAPS (nemusí existovat). Můžete použít operační systém grep nebo findstr s výše uvedeným příkazem a zúžit vyhledávání. Pokud je na serveru LDAPS zastaralý nebo stávající certifikát certifikační autority, odstraňte jej pomocí následujícího příkazu:
    • Pro NetWorker 19.12.x (JRE 8.x) a starší:
    Windows:  
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Pro NetWorker 19.13 (JDK 17.x) a novější:
    Windows: 
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    POZNÁMKA: Nahraďte ALIAS_NAME názvem aliasu starých certifikátů nebo certifikátů, jejichž platnost vypršela, z kroku 2.
    7. Importujte vytvořený certifikát nebo soubory certifikátů do důvěryhodného úložiště klíčů JAVA:
      • Pro NetWorker 19.12.x (JRE 8.x) a starší:
      Windows:  
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:
      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Pro NetWorker 19.13 (JDK 17.x) a novější:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:  
      $JAVA/bin/keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Nahraďte část ALIAS_NAME aliasem importovaného certifikátu (například RCA (kořenová certifikační autorita)). Při importu více certifikátů pro řetězec certifikátů musí mít každý certifikát jiný název aliasu a musí být importován samostatně. Řetězec certifikátů je také nutné importovat v pořadí od kroku 5 (shora dolů).
      • Nahraďte část PATH_TO\CERT_FILE umístěním souboru certifikátu, který jste vytvořili v kroku 6.
      8. Zobrazí se výzva k importu certifikátu, zadejte příkaz yes a stiskněte klávesu Enter. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Ověřte, že se certifikát zobrazuje v úložišti klíčů (stejné příkazy jako v kroku 2).
      POZNÁMKA: Pomocí příkazu | použijte výstup (|) na operační systém grep nebo findstr na výše uvedené pro zúžení výsledku. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Restartujte služby serveru NetWorker. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      POZNÁMKA: Restartujte služby serveru NetWorker, aby bylo zajištěno, že nástroj AUTHC přečte soubor cacerts a zjistí importované certifikáty pro komunikaci SSL se serverem LDAP.
       

      Konfigurace zdroje externí autority

      Tento článek znalostní databáze se zaměřuje na použití konzole NetWorker Management Console (NMC) ke konfiguraci protokolu LDAP přes SSL. Při konfiguraci služby AD přes protokol SSLse doporučuje používat webové uživatelské rozhraní NetWorker (NWUI). Tento proces je podrobně popsán v:

      Pokud dodržíte některý z těchto článků, můžete přejít k části, kde je vytvořen zdroj externí autority. Není nutné opakovat postup importu certifikátu.

      POZNÁMKA: Tento článek znalostní databáze lze použít i při konfiguraci služby AD přes SSL. Jsou však vyžadovány další kroky. Tyto kroky jsou popsány níže.

      1. Přihlaste se do konzole NetWorker Management Console (NMC) pomocí výchozího účtu správce NetWorker. Vyberte položku Setup--> Users and Roles--> External Authority.
      2. Vytvořte nebo upravte stávající konfiguraci externí autority a v rozevíracím seznamu Server Type vyberte možnost LDAP over SSL. Tím se automaticky změní port z 389 na 636:
      Příklad přidání služby AD přes SSL z konzole NMC
      POZNÁMKA: Rozbalte pole Show Advanced Options a ujistěte se, že jsou pro váš ověřovací server nastaveny správné hodnoty. Tabulku s vysvětlením polí a hodnot naleznete v části Další informace tohoto článku znalostní databáze.

      Služba Active Directory přes SSL:

      VÝSTRAHA: Pomocí nastavení „LDAP over SSL“ se službou Microsoft Active Directory se interní konfigurační parametr „is active directory“ nastaví na hodnotu „false“. Tak dojde k zabránění úspěšnému ověření služby AD v nástroji NetWorker. K nápravě této chyby lze použít následující postup.

      A. Získejte podrobnosti o ID konfigurace:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Příklad:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Pomocí příkazu authc_config nastavte is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      POZNÁMKA: Hodnoty požadované pro tato pole lze získat z kroku A.
       
      Příklad:
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Externí zdroj autority je nyní správně nakonfigurovaný pro službu Microsoft Active Directory.

       
      3. Pomocí příkazu authc_mgmt na serveru NetWorker potvrďte, zda jsou skupiny/uživatelé AD/LDAP viditelné: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Příklad:
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      POZNÁMKA: U některých systémů příkazy authc mohou selhat s chybou „incorrect password“, i když je zadáno správné heslo. To je způsobeno tím, že heslo je zadáno jako viditelný text s možností „-p“. Pokud se setkáte s tímto problémem, odstraňte z příkazu část „-p password“. Po spuštění příkazu budete vyzváni k zadání skrytého hesla.
       

      Konfigurace konzole NMC pro přijetí externího ověřování:

      4. Po přihlášení do konzole NMC jako výchozí účet správce NetWorker otevřete položku Setup --> Users and Roles --> NMC Roles. Otevřete vlastnosti role Console Application Administrators a do pole External roles zadejte rozlišující názevTento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies. (DN) skupiny AD/LDAP. Pro uživatele, kteří vyžadují stejnou úroveň oprávnění jako výchozí účet správce NetWorker, zadejte rozlišující název skupiny AD/LDAP v roli Console Security Administrators. Pro uživatele nebo skupiny AD, kteří nepotřebují oprávnění správce ke konzoli NMC, přidejte jejich úplný rozlišující název v externích rolích Console User.

      Příklad externích rolí nastavených v rolích NMC 
      POZNÁMKA: Ve výchozím nastavení již existuje rozlišující název skupiny LOCAL Administrators serveru NetWorker. Ten neodstraňujte.
       

      Konfigurace oprávnění externího uživatele serveru NetWorker:

      5. Připojte server NetWorker z konzole NMC a otevřete položku Server --> User Groups. Zadejte rozlišující název (DN) skupiny AD/LDAP do pole External Roles vlastností role Application Administrators. V případě uživatelů, kteří vyžadují stejnou úroveň oprávnění jako výchozí účet správce NetWorker, je nutné zadat rozlišující název skupiny AD/LDAP v roli Security Administrators.
      Konfigurace skupin uživatelů nsr s externími uživateli nebo skupinami
      POZNÁMKA: Ve výchozím nastavení již existuje rozlišující název skupiny LOCAL Administrators serveru NetWorker. Ten neodstraňujte.
       
      Případně můžete použít metodu skriptu nsraddadmin a dosáhnout toho u externích uživatelů nebo skupin, kteří by měli mít úplná práva správce NetWorker: 
      nsraddadmin -e "USER/GROUP_DN"
      Příklad: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Přejděte do konzole NMC:
      Měli byste mít přístup ke konzoli NMC a nástroji NetWorker s externími uživateli, kterým byla udělena oprávnění.
      Přihlášení jako externí uživatel
      Po přihlášení se uživatel zobrazí v pravém horním rohu konzole NMC:
      Konzole NMC zobrazuje uživatele AD

      Dodatečná bezpečnostní oprávnění

      6. (VOLITELNÉ) Chcete-li, aby skupina AD/LDAP mohla spravovat externí autority, je nutné na serveru NetWorker provést následující akce.
       
      A. Otevřete příkazový řádek správce/uživatele root.
      B. Pomocí rozlišujícího názvu skupiny AD, ke které chcete udělit oprávnění FULL_CONTROL, spusťte: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Příklad:
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Informations supplémentaires

      Další informace naleznete v Průvodci konfigurací zabezpečení NetWorker, který je k dispozici na adrese: https://www.dell.com/support/home/product-support/product/networker/docs

      Hodnoty konfigurace:

      Typ serveru Vyberte možnost LDAP, pokud je ověřovacím serverem server Linux/UNIX LDAP, a možnost Active Directory, pokud používáte server Microsoft Active Directory.
      Název autority Zadejte název této externí ověřovací autority. Tento název může být jakýkoliv, slouží pouze k odlišení mezi ostatními autoritami, když jich je nakonfigurováno více.
      Název serveru poskytovatele Toto pole by mělo obsahovat plně kvalifikovaný název domény (FQDN) vašeho serveru AD nebo LDAP.
      Nájemce Nájemce je možné použít v prostředích, kde lze používat více než jednu metodu ověřování nebo když je potřeba nakonfigurovat více oprávnění. Ve výchozím nastavení je vybrán nájemce „default“. Použití nájemců změní váš způsob přihlášení. Přihlaste se ke konzoli NMC pomocí uživatele „domain\user“ pro výchozího nájemce nebo „tenant\domain\user“ pro ostatní nájemce.
      Doména Zadejte celý název domény (kromě názvu hostitele). Obvykle se jedná o základní název domény, který se skládá z hodnot součástí vaší domény (DC). 
      Číslo portu Pro integraci LDAP a AD použijte port 389. Pro protokol LDAP přes SSL použijte port 636.
      Tyto porty nejsou výchozími porty NetWorker na serveru AD/LDAP.
      Rozlišující název uživatele Zadejte rozlišující název (DN) uživatelského účtu, který má úplný přístup pro čtení adresáře LDAP nebo AD.
      Zadejte relativní DN uživatelského účtu nebo úplné DN, pokud přepíšete hodnotu nastavenou v poli Doména.
      Heslo rozlišujícího názvu uživatele Zadejte heslo zadaného uživatelského účtu.
      Třída objektů skupiny Třída objektu, která identifikuje skupiny v hierarchii LDAP nebo AD.
      • Pro protokol LDAP použijte groupOfUniqueNames nebo groupOfNames 
        POZNÁMKA: K dispozici jsou i další třídy objektů skupiny kromě groupOfUniqueNames a groupOfNames.  Použijte libovolnou třídu objektu nakonfigurovanou na serveru LDAP.
      • Pro systém AD použijte group
      Vyhledávací cesta skupiny Toto pole může zůstat prázdné, v takovém případě je authc schopen dotazovat se na celou doménu. Než se tito uživatelé/skupiny budou moci přihlásit ke konzoli NMC a spravovat server NetWorker, je nutné udělit oprávnění pro přístup k serveru NMC/NetWorker. Zadejte relativní cestu k doméně namísto úplného rozlišujícího názvu.
      Atribut názvu skupiny Atribut, který identifikuje název skupiny. Například cn
      Atribut člena skupiny Členství uživatele ve skupině
      • U serveru LDAP:
        • Je-li třída objektů skupiny groupOfNames, atribut je obvykle member.
        • Je-li třída objektů skupiny groupOfUniqueNames, atribut je obvykle uniquemember.
      •  U serveru AD je hodnota obvykle member.
      Třída objektu uživatele Třída objektu, která identifikuje uživatele v hierarchii LDAP nebo AD.
      Například inetOrgPerson nebo user
      Vyhledávací cesta uživatele Stejně jako vyhledávací cesta skupiny může být toto pole ponecháno prázdné, v takovém případě je služba AUTHC schopna dotazovat se na celou doménu. Zadejte relativní cestu k doméně namísto úplného rozlišujícího názvu.
      Atribut ID uživatele ID uživatele, které je přidruženo k objektu uživatele v hierarchii LDAP nebo AD.
      • U serveru LDAP je tento atribut obvykle uid.
      • U serveru AD je tento atribut obvykle sAMAccountName.

      Další relevantní články:

      Produits concernés

      NetWorker

      Produits

      NetWorker Family, NetWorker Management Console
      Propriétés de l’article
      Numéro d’article: 000156132
      Type d’article: How To
      Dernière modification: 25 mars 2026
      Version:  18
      Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
      Services de support
      Vérifiez si votre appareil est couvert par les services de support.