NetWorker: Як налаштувати автентифікацію LDAPS

Résumé: Огляд налаштування AD або Secure Lightweight Directory Access Protocol (LDAPS) за допомогою NetWorker за допомогою зовнішнього майстра авторитету NMC. Ця база також може використовуватися для інструкцій щодо оновлення існуючої конфігурації зовнішнього авторитету. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Цю статтю можна розділити на такі розділи. Уважно ознайомтеся з кожним розділом перед тим, як рухатися далі:

Передумови: 

  • Визначте, який хост є authc Офіціант. Це корисно у великих датазонах NetWorker. У менших дата-зонах з одним сервером NetWorker сервер NetWorker є сервером автентифікації. 
  • Визначте, яке середовище виконання Java використовується для сервісу автентифікації.
  • Встановіть змінні командного рядка для полегшення імпорту сертифікатів CA, що використовуються для SSL, з зовнішньою автентифікацією NetWorker.

Налаштування SSL:

  • Збір сертифікатів, необхідних для SSL-комунікації з зовнішнім сервером автентифікації.
  • Імпортуйте сертифікати, що використовуються для LDAPS-автентифікації, у середовище виконання сервісів автентифікації cacerts Ключ-магазин.

Налаштування ресурсу зовнішнього авторитету:

  • Створіть зовнішній авторитетний ресурс у сервісі автентифікації.
  • Визначте зовнішніх користувачів або групи, які використовуються для NetWorker.
  • Визначте, які зовнішні користувачі або групи мають доступ до NetWorker Management Console (NMC).
  • Визначте дозволи сервера NetWorker, які мають зовнішні користувачі та групи.
  • (За бажанням) Налаштуйте FULL_CONTROL права безпеки для зовнішнього користувача або групи.

Передумови:

Щоб використовувати LDAPS, потрібно імпортувати сертифікат CA (або ланцюжок сертифікатів) із сервера LDAPS у сховище ключів Java cacerts сервера автентифікації NetWorker.

  1. Визначте, який хост є сервером автентифікації NetWorker. Це можна перевірити у файлі gstd.conf сервера NetWorker Management Console (NMC):
Linux: /opt/lgtonmc/etc/gstd.conf
Вікна: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
ПРИМІТКА. The gstd.conf файл містить рядок authsvc_hostname який визначає сервер автентифікації, що використовується для обробки запитів на вхід у NetWorker Management Console (NMC). Для детальнішої інформації дивіться: NetWorker: Як визначити, який сервер є сервером автентифікації, який використовують NMC та NWUI
  1. На сервері автентифікації NetWorker ідентифікуйте використаний екземпляр Java.
Вікна:
A. Пошук About у рядку пошуку Windows.
B. З розділу «Про нас» натисніть «Розширені налаштування системи».
C. У розділі «Властивості системи» натисніть «Змінні середовища».
D. The NSR_JAVA_HOME змінна визначає шлях середовища виконання Java, яке використовує NetWorker authc:

NSR_JAVA_HOME

    1. E. З адміністративного рядка встановіть командні змінні, які вказують шлях встановлення java, визначений на вище кроці:
set JAVA="Path\to\java"
Приклад:
 Приклад налаштування змінної JAVA Windows  
Полегшує java keytool команд у «Налаштування SSL » і забезпечує правильне виконання cacerts файл імпортує сертифікат CA. Ця змінна видаляється після закриття сесії командного рядка і не заважає жодній іншій операції NetWorker.

Linux:

    A. Перевірте /nsr/authc/conf/installrc щоб побачити, яке Java-розташування використовувалося при налаштування сервісу автентифікації:

    sudo cat /nsr/authc/conf/installrc
    Приклад:
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    ПРИМІТКА. Ця змінна застосовується лише до процесів NetWorker. Можливо, що echo $JAVA_HOME повертається іншим шляхом; наприклад, якщо також встановлено Oracle Java Runtime Environment (JRE). На наступному етапі важливо використовувати $JAVA_HOME шлях, визначений у NetWorker's /nsr/authc/conf/installrc Справу.

    B. Встановіть змінні командного рядка, які вказують шлях встановлення java, визначений у наведеному вище кроці.

    JAVA=/path/to/java
    Приклад:
    встановлення java-змінної Linux 
    Полегшує java keytool команд у «Налаштування SSL » і забезпечує правильне виконання cacerts файл імпортує сертифікат CA. Ця змінна видаляється після закриття сесії командного рядка і не заважає жодній іншій операції NetWorker.

    Налаштування SSL

    Щоб використовувати LDAPS, потрібно імпортувати сертифікат CA (або ланцюг сертифікатів) з сервера LDAPS у довірчий сховище ключів JAVA. Це можна зробити за допомогою наступної процедури:

    Отримайте кореневий сертифікат CA (і ланцюжок, якщо налаштований) з сервера автентифікації.

    Linux:

    1. Відкрийте підвищений запит на сервері автентифікації NetWorker (AUTHC).
    2. Використовуйте інструмент OpenSSL, щоб отримати копію сертифіката CA з сервера LDAPS.
    openssl s_client -showcerts -connect LDAPS_SERVER:636 2>/dev/null </dev/null
    • Linux зазвичай комплектується openssl встановлено. Якщо в цьому середовищі є сервери Linux, ви можете використовувати openssl Там збирати файли сертифікатів. Їх можна копіювати та використовувати на Windows authc Офіціант.
    • Якщо у вас немає OpenSSL і його неможливо встановити, попросіть адміністратора AD надати один або кілька сертифікатів, експортувавши їх у форматі x.509 з кодуванням Base-64.
    • Замінити LDAPS_SERVER з ім'ям хоста або IP-адресою вашого LDAPS-сервера.
    1. Наведена вище команда виводить сертифікат CA або ланцюжок сертифікатів у форматі Privacy Enhanced Mail (PEM), наприклад:
    -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
...REMOVED FOR BREVITY...
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
    ПРИМІТКА. Якщо існує ланцюжок сертифікатів, останній сертифікат — це сертифікат CA. Ви повинні імпортувати кожен сертифікат у ланцюжку у порядку (зверху вниз), закінчуючи сертифікатом CA.
    1. Скопіюйте сертифікат, починаючи з ---BEGIN CERTIFICATE--- і завершуючи словами ---END CERTIFICATE--- і вставляю його у новий файл. Якщо існує ланцюжок сертифікатів, ви повинні робити це з кожним сертифікатом.
    2. Перейдіть у розділ «Імпортні сертифікати».

    Вікна:

    У Windows за замовчуванням не встановлено OpenSSL. Якщо він встановлений на вашій системі, ви можете дотримуватися тих самих інструкцій, що й розділу з Linux , вище. Якщо сертифікат не встановлений, ви можете встановити його з сторонньої платформи або скористатися наступними кроками, щоб отримати сертифікат без OpenSSL.

    1. Відкрийте підвищений запит PowerShell на сервері NetWorker Authentication (AUTHC).
    2. Запустіть наступний скрипт, замінюючи EXTERNAL_AUTH_SERVER_ADDRESS з вашим ім'ям хоста або IP-адресою в LDAP або Active Directory (AD):
    $server = "EXTERNAL_AUTH_SERVER_ADDRESS"
$port   = 636

$tcp = New-Object System.Net.Sockets.TcpClient
$tcp.Connect($server, $port)

$ssl = New-Object System.Net.Security.SslStream(
    $tcp.GetStream(),
    $false,
    { param($sender,$cert,$chain,$errors) $true }
)

try {
    $ssl.AuthenticateAsClient($server)

    "=== Protocol ==="
    $ssl.SslProtocol
    "=== Cipher ==="
    "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
    ""
    "=== Server Certificate ==="

    $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)

    "Subject  : $($remoteCert.Subject)"
    "Issuer   : $($remoteCert.Issuer)"
    "NotBefore: $($remoteCert.NotBefore)"
    "NotAfter : $($remoteCert.NotAfter)"
    ""

    $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
    "-----BEGIN CERTIFICATE-----"
    $b64
    "-----END CERTIFICATE-----"
}
finally {
    $ssl.Dispose()
    $tcp.Dispose()
}
    УВАГА: Наприклад, цей блок скриптів призначений лише для використання. У деяких середовищах це може не працювати через конкретну версію Windows або політики забезпечення безпеки системи. Якщо неможливо отримати сертифікати безпосередньо з сервера NetWorker, потрібно проконсультуватися з адміністратором домену, щоб отримати необхідний кореневий CA та проміжні сертифікати (якщо вони налаштовані). Альтернативно, використовуйте сервер Linux для збору сертифікатів (як показано в наведених вище інструкціях для Linux).
    Приклад:
    PS C:\Users\administrator.AMER> $server = "dc.amer.lan"
PS C:\Users\administrator.AMER> $port   = 636
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $tcp = New-Object System.Net.Sockets.TcpClient
PS C:\Users\administrator.AMER> $tcp.Connect($server, $port)
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $ssl = New-Object System.Net.Security.SslStream(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender,$cert,$chain,$errors) $true }
>> )
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> try {
>>     $ssl.AuthenticateAsClient($server)
>>
>>     "=== Protocol ==="
>>     $ssl.SslProtocol
>>     "=== Cipher ==="
>>     "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
>>     ""
>>     "=== Server Certificate (exactly what the DC sends) ==="
>>
>>     $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
>>
>>     "Subject  : $($remoteCert.Subject)"
>>     "Issuer   : $($remoteCert.Issuer)"
>>     "NotBefore: $($remoteCert.NotBefore)"
>>     "NotAfter : $($remoteCert.NotAfter)"
>>     ""
>>
>>     $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
>>     "-----BEGIN CERTIFICATE-----"
>>     $b64
>>     "-----END CERTIFICATE-----"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Protocol ===
Tls13
=== Cipher ===
Aes256 (256-bit)

=== Server Certificate ===
Subject  : CN=DC.amer.lan
Issuer   : CN=amer-DC-CA, DC=amer, DC=lan
NotBefore: 11/29/2025 01:17:22
NotAfter : 11/29/2026 01:17:22

-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgITNAAAAAT93FoJVZwLkQAAAAAABDANBgkqhkiG9w0BAQsFADBAMRMwEQYK
...REMOVED FOR BREVITY...
c1HhZw24yOwFSOtTQg==
-----END CERTIFICATE-----
    ПРИМІТКА. Скрипт повертає один сертифікат, якщо є лише кореневий CA. Додаткові сертифікати відображаються, якщо проміжні сертифікати налаштовані і доступні сервером.
    1. Скопіюйте сертифікат, починаючи з ---BEGIN CERTIFICATE--- і завершуючи словами ---END CERTIFICATE--- і вставляю його у новий файл. Якщо існує ланцюжок сертифікатів, ви повинні робити це з кожним сертифікатом.
    2. Перейдіть у розділ «Імпортні сертифікати».

    Імпортні сертифікати:

    ПРИМІТКА. Нижче наведений процес використовує змінні командного рядка, встановлені після розділу Prerequisites . Якщо змінні командного рядка не встановлені, вкажіть повний шлях Java.
    1. Відкрийте адміністративний/кореневий рядок
    команд.2. Відобразіть список поточних довірених сертифікатів у сховищі довіри.
    • Для NetWorker 19.12.x (JRE 8.x) та раніше:
    Вікна:  
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Для NetWorker 19.13 (JDK 17.x) та пізніше:
    Вікна: 
    %JAVA%\bin\keytool -list -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -list -cacerts -storepass changeit
    3. Перегляньте список на наявність псевдоніму, який відповідає вашому серверу LDAPS (можливо, такого не існує). Ви можете використовувати операційну систему grep або findstr команди за допомогою наведеної вище команди для звузення пошуку. Якщо з вашого LDAPS-сервера є застарілий або існуючий сертифікат CA, видаліть його наступною командою:
    • Для NetWorker 19.12.x (JRE 8.x) та раніше:
    Вікна:  
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Для NetWorker 19.13 (JDK 17.x) та пізніше:
    Вікна: 
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    ПРИМІТКА. Замініть ALIAS_NAME на псевдонім старих або прострочених сертифікатів з другого кроку.
    7. Імпортуйте файли сертифікатів або сертифікатів, створені у довірчий сховище ключів JAVA:
      • Для NetWorker 19.12.x (JRE 8.x) та раніше:
      Вікна:  
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:
      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Для NetWorker 19.13 (JDK 17.x) та пізніше:
      Вікна: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:  
      $JAVA/bin/keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Замініть ALIAS_NAME на псевдонім для імпортованого сертифіката (наприклад, RCA (кореневий CA)). При імпорті кількох сертифікатів для ланцюга сертифікатів кожен сертифікат повинен мати різне ім'я ALIAS і імпортуватися окремо. Ланцюжок сертифікатів також має імпортуватися у порядку з кроку 5 (зверху вниз).
      • Замініть PATH_TO\CERT_FILE на місцезнаходження файлу сертифіката, який ви створили на кроці 6.
      8. Вам пропонують імпортувати сертифікат, введіть їх yes І натисніть Enter. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Переконайтеся, що сертифікат показаний у сховищі ключів (ті ж команди, що й крок 2).
      ПРИМІТКА. Труба (|) операційну систему grep або findstr наказувати вищезазначене, щоб звузити результат. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Перезапустіть серверні сервіси NetWorker. 
      Вікна:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      ПРИМІТКА. Перезапустіть серверні сервіси NetWorker, щоб переконатися, що AUTHC зчитує файл cacerts і виявляє імпортовані сертифікати для SSL-комунікації з LDAP-сервером.
       

      Налаштування ресурсу зовнішнього авторитету

      Ця база знань зосереджена на використанні NetWorker Management Console (NMC) для налаштування LDAP поверх SSL. При налаштуванні AD через SSLрекомендується використовувати веб-інтерфейс користувача NetWorker (NWUI). Цей процес детально описано в:

      Альтернативно, ви можете використати authc_config Метод скрипту:

      Якщо дотримуються будь-яких із статей, можна перейти до розділу, де створюється зовнішній авторитетний ресурс, повторювати процедуру імпорту сертифікатів не обов'язково.

      ПРИМІТКА. Цю базу знань можна виконувати при налаштуванні AD поверх SSL; однак потрібні додаткові кроки. Ці кроки наведені нижче.

      1. Увійдіть у NetWorker Management Console (NMC) за допомогою свого облікового запису адміністратора NetWorker. Виберіть Налаштування— Користувачі> та Ролі —> Зовнішній авторитет.
      2. Створіть або змініть вашу існуючу конфігурацію зовнішнього авторитету, виберіть LDAP замість SSL у випадаючому меню Server Type. Це автоматично змінює порт з 389 на 636:
      Приклад додавання AD поверх SSL від NMC
      ПРИМІТКА. Розгорніть поле Show Advanced Options і переконайтеся, що для вашого сервера автентифікації встановлені правильні значення. Дивіться поле «Додаткова інформація » цієї бази знань для таблиці, що пояснює поля та значення.

      Для Active Directory через SSL:

      УВАГА: Використання налаштування NMC «LDAP over SSL» з Microsoft Active Directory встановлює внутрішній параметр конфігурації «is active directory» у «false». Це запобігає успішній автентифікації AD у NetWorker. Наступні кроки можна використати для виправлення цієї ситуації.

      A. Отримайте деталі ідентифікатора конфігурації:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Приклад:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Використовуйте authc_config команду встановити is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      ПРИМІТКА. Значення, необхідні для цих полів, можна отримати з кроку A.
       
      Приклад:
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Зовнішній ресурс авторитету тепер коректно налаштований для Microsoft Active Directory.

       
      3. Ви можете скористатися authc_mgmt на вашому сервері NetWorker, щоб підтвердити, що AD/LDAP групи/користувачі видимі: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Приклад:
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      ПРИМІТКА. На деяких системах authc Команди можуть не працювати через помилку «неправильний пароль» навіть якщо вказано правильний пароль. Це пов'язано з тим, що пароль вказаний як видимий текст із "-p"Варіант. Якщо зіткнетеся з цим, приберіть "-p password" з команд. Після виконання команди вам запропонують ввести прихований пароль.
       

      Налаштування NMC для прийому зовнішньої автентифікації:

      4. Після входу в NMC як стандартний обліковий запис адміністратора NetWorker відкрийте ролі Setup-->Users and Roles>--NMC. Відкрийте властивості ролі адміністратора консолі та введіть Distinguished Name Це посилання веде на сайт поза межами Dell Technologies. (DN) групи AD/LDAP у поле зовнішніх ролей . Для користувачів, яким потрібні ті ж рівні дозволів, що й стандартний обліковий запис адміністратора NetWorker, вкажіть DN групи AD/LDAP у ролі адміністратора безпеки консолі . Для користувачів або груп AD, яким не потрібні адміністративні права на консоль NMC, додайте повний DN у зовнішні ролі користувача консолі.

      Приклад зовнішніх ролей, встановлених у ролях NMC 
      ПРИМІТКА. За замовчуванням вже є DN групи ЛОКАЛЬНИХ адміністраторів сервера NetWorker, не видаляйте це.
       

      Налаштування зовнішніх прав користувача сервера NetWorker:

      5. Підключіть сервер NetWorker до NMC, відкрийте Server —> User Groups. Введіть Distinguished Name (DN) групи AD/LDAP у полі зовнішніх ролей властивостей ролі адміністратора додатків . Для користувачів, яким потрібні ті ж рівні дозволів, що й стандартний обліковий запис адміністратора NetWorker, потрібно вказати DN групи AD/LDAP у ролі адміністратора безпеки.
      Конфігурація груп користувачів nsr із зовнішніми користувачами або групами
      ПРИМІТКА. За замовчуванням вже є DN групи ЛОКАЛЬНИХ адміністраторів сервера NetWorker, не видаляйте це.
       
      Альтернативно, ви можете використати nsraddadmin щоб досягти цього для зовнішніх користувачів/груп, які повинні мати повні права адміністратора NetWorker: 
      nsraddadmin -e "USER/GROUP_DN"
      Приклад: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Доступ до NMC:
      Ви повинні мати доступ до сервера NMC і NetWorker разом із зовнішніми користувачами, яким було надано на це дозвіл.
      Увійшов як зовнішній користувач
      Після входу в систему користувач відображається у верхньому правому куті NMC:
      NMC показує користувача AD

      Додаткові дозволи безпеки

      6. (ЗА БАЖАННЯМ) Якщо ви хочете, щоб група AD/LDAP могла керувати зовнішніми авторитетами, потрібно виконати наступне на сервері NetWorker.
       
      A. Відкрийте адміністративний/кореневий командний рядок.
      B. Використовуючи DN групи AD, ви хочете надати FULL_CONTROL дозвіл на запуск: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Приклад:
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Informations supplémentaires

      Для додаткової інформації дивіться Посібник з конфігурації безпеки NetWorker, доступний через: https://www.dell.com/support/home/product-support/product/networker/docs

      Значення конфігурації:

      Тип сервера Виберіть LDAP, якщо сервер автентифікації — це LDAP-сервер Linux/UNIX, Active Directory, якщо ви використовуєте сервер Microsoft Active Directory.
      Назва органу Назвіть назву цього зовнішнього органу автентифікації. Ця назва може бути будь-якою, що ви забажаєте, але лише для того, щоб розрізняти інші авторитети, коли налаштовані кілька.
      Ім'я сервера провайдера Це поле має містити повністю кваліфіковане доменне ім'я (FQDN) вашого сервера AD або LDAP.
      Орендар Орендарі можуть використовуватися в середовищах, де може застосовуватися більше одного методу автентифікації або де потрібно налаштувати кілька авторитетів. За замовчуванням обирається «стандартний» орендар. Використання орендарів змінює ваш спосіб входу. Увійдіть до NMC за допомогою 'domain\user' для стандартного орендаря або 'tenant\domain\user' для інших орендарів.
      Домен Вкажіть повне доменне ім'я (за винятком імені хоста). Зазвичай це ваш базовий DN, який складається зі значень компонента домену (DC) домену. 
      Номер порту Для інтеграції LDAP та AD використовуйте порт 389. Для LDAP через SSL використовуйте порт 636.
      Ці порти є портами за замовчуванням не NetWorker на сервері AD/LDAP.
      DN користувача Вкажіть Distinguished Name (DN) облікового запису, який має повний доступ до каталогу LDAP або AD.
      Вкажіть відносний DN облікового запису користувача або повний DN, якщо ви змінюєте значення, встановлене в полі домену.
      Пароль DN користувача Вкажіть пароль від вказаного облікового запису.
      Клас об'єкта групи Клас об'єктів, який ідентифікує групи в ієрархії LDAP або AD.
      • Для LDAP використовуйте groupOfUniqueNames або groupOfNames 
        ПРИМІТКА. Існують й інші класи групових об'єктів, окрім groupOfUniqueNames та groupOfNames.  Використовуйте будь-який клас об'єктів, налаштований на LDAP-сервері.
      • Для AD, використання group
      Груповий пошук У такому випадку це поле можна залишити порожнім authc здатний робити запити до повного домену. Для доступу до сервера NMC/NetWorker необхідно надати дозволи, перш ніж ці користувачі/групи зможуть увійти в NMC і керувати сервером NetWorker. Вкажіть відносний шлях до домену замість повного DN.
      Атрибут назви групи Атрибут, що ідентифікує назву групи. Наприклад, cn
      Атрибут члена групи Членство користувача в групі
      • Щодо LDAP:
        • Коли клас об'єкта групи — groupOfNames, атрибут зазвичай є member.
        • Коли клас об'єкта групи — groupOfUniqueNames, атрибут зазвичай є uniquemember.
      •  Для AD значення зазвичай є member.
      Клас об'єкта користувача Клас об'єкта, який ідентифікує користувачів у ієрархії LDAP або AD.
      Наприклад, inetOrgPerson або user
      Шлях пошуку користувача Як і шлях пошуку групи, це поле можна залишити порожнім, і тоді AUTHC здатен робити запит до повного домену. Вкажіть відносний шлях до домену замість повного DN.
      Атрибут ідентифікатора користувача Ідентифікатор користувача, пов'язаний із об'єктом користувача в ієрархії LDAP або AD.
      • Для LDAP ця характеристика зазвичай є uid.
      • Для AD ця характеристика зазвичай є sAMAccountName.

      Інші релевантні статті:

      Produits concernés

      NetWorker

      Produits

      NetWorker Family, NetWorker Management Console
      Propriétés de l’article
      Numéro d’article: 000156132
      Type d’article: How To
      Dernière modification: 25 mars 2026
      Version:  18
      Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
      Services de support
      Vérifiez si votre appareil est couvert par les services de support.