NetWorker: Einrichten der AD/LDAP-Authentifizierung

Résumé: Dieser Wissensdatenbank-Artikel bietet eine Übersicht über das Hinzufügen externer Autoritäten zu NetWorker mithilfe des Assistenten für externe Autoritäten der NetWorker Management Console (NMC). Die Active Directory (AD)- oder Linux LDAP-Authentifizierung kann zusammen mit dem NetWorker-Standardadministratorkonto oder anderen lokalen NMC-Konten verwendet werden. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

HINWEIS: Für AD-over-SSL-Integrationen muss die NetWorker-Webnutzeroberfläche verwendet werden, um die externe Autorität zu konfigurieren. Siehe NetWorker: Konfiguration von „AD over SSL“ (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI).

 

Externe Autoritätsressourcen können über die NetWorker Management Console (NMC), die NetWorker Web User Interface (NWUI) oder AUTHC-Skripte erstellt und verwaltet werden:

  • NetWorker-Managementkonsole (NMC): Melden Sie sich mit dem NetWorker-Administratorkonto bei der NMC an. Navigieren Sie zu Setup->Nutzer und Rollen->Externe Zertifizierungsstellen.
  • NetWorker Web User Interface (NMC): Melden Sie sich mit dem NetWorker-Administratorkonto bei der NWUI an. Navigieren Sie zu Authentifizierungsserver –>Externe Zertifizierungsstellen.
HINWEIS: Dieser Wissensdatenbank-Artikel zeigt, wie AD/LDAP mithilfe der NMC hinzugefügt wird. Detaillierte Anweisungen zur Verwendung der NWUI finden Sie unter: NetWorker: Konfigurieren von AD/LDAP über die NetWorker-Webbenutzeroberfläche.

Voraussetzung:

Die externe Authentifizierung (AD oder LDAP) ist in die Datenbank des NetWorker-Authentifizierungsservers (AUTHC) integriert. Sie ist nicht direkt Teil der NMC- oder NWUI-Datenbanken. In Umgebungen mit einem einzigen NetWorker-Server ist der NetWorker-Server der AUTHC-Host. In Umgebungen mit mehreren NetWorker-Servern, die über eine einzige NMC verwaltet werden, ist nur einer der NetWorker-Server der AUTHC-Server. Die Bestimmung des AUTHC-Hosts ist für die authc_mgmt Befehle erforderlich, die in späteren Schritten dieses Artikels verwendet werden. Der AUTHC-Server wird identifiziert in der NMC-Server- (NetWorker Management Console) gstd.conf Datei:

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (Standardeinstellung): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    HINWEIS: Die Spalte gstd.conf enthält eine Zeichenfolge authsvc_hostname , die den Authentifizierungsserver angibt, der zur Verarbeitung von Anmeldeanfragen für die NetWorker Management Console (NMC) verwendet wird.

Process:

Melden Sie sich mit dem standardmäßigen NetWorker-Administratorkonto bei der NetWorker Management Console (NMC) an. Auf der Registerkarte Setup -->Nutzer und Rollen – gibt es eine neue Option für externe Zertifizierungsstelle.

Setup-Fenster der NetWorker Management Console für das Repository einer externen Zertifizierungsstelle
 
  1. Um eine neue Zertifizierungsstelle hinzuzufügen, klicken Sie mit der rechten Maustaste in das Fenster „Externe Zertifizierungsstelle“ und wählen Sie Neu aus.
  2. Im Feld „Externe Authentifizierungsstelle“ müssen Sie die erforderlichen Felder mit Ihren AD/LDAP-Informationen ausfüllen.
  3. Aktivieren Sie das Kontrollkästchen „Erweiterte Optionen anzeigen“, um alle Felder anzuzeigen.
Servertyp Wählen Sie LDAP aus, wenn es sich bei dem Authentifizierungsserver um einen Linux/UNIX-LDAP-Server handelt, und Active Directory, wenn Sie einen Microsoft Active Directory-Server verwenden.
Name der Zertifizierungsstelle Geben Sie einen Namen für die externe Authentifizierungsstelle an. Es kann ein beliebiger Name sein, er dient nur zur Unterscheidung von Zertifizierungsstellen, wenn mehrere konfiguriert werden.
Anbieter-Servername Dieses Feld sollte den vollständig qualifizierten Domainnamen (FQDN) Ihres AD- oder LDAP-Servers enthalten.
Mandant Mandanten können in Umgebungen verwendet werden, in denen mehr als eine Authentifizierungsmethode verwendet wird oder in denen mehrere Zertifizierungsstellen konfiguriert werden müssen. Standardmäßig wird der „Standardmandant“ ausgewählt. Die Verwendung von Mandanten ändert Ihre Anmeldemethode. Melden Sie sich für den Standardmandanten mit „domain\user“ oder für andere Mandanten mit „mandant\domain\user" bei der NMC an.
Domäne Geben Sie den vollständigen Domainnamen (ohne einen Hostnamen) an. In der Regel ist dies Ihr Basis-DN (Distinguished Name, eindeutiger Name), der aus den Werten der Domainkomponente (DC) Ihrer Domain besteht. 
Portnummer Verwenden Sie für die LDAP- und AD-Integration Port 389. Verwenden Sie für LDAP über SSL Port 636. Diese Ports sind Nicht-NetWorker-Standardports auf dem AD/LDAP-Server.
HINWEIS: Das Ändern des Ports auf 636 reicht für die Konfiguration von SSL nicht aus. Das CA-Zertifikat (und die Kette, wenn eine Kette verwendet wird) muss vom Domainserver auf den AUTHC-Server importiert werden. Siehe NetWorker: Konfiguration von „AD over SSL“ (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI).
Nutzer-DN Geben Sie den eindeutigen Namen (Distinguished Name, Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.  DN) eines Nutzerkontos an, das vollständigen Lesezugriff auf das LDAP- oder AD-Verzeichnis hat.
Geben Sie den relativen DN des Nutzerkontos oder den vollständigen DN an, wenn Sie den im Feld „Domain“ festgelegten Wert überschreiben.
Nutzer-DN-Kennwort Geben Sie das Kennwort für das angegebene Nutzerkonto an.
Gruppenobjektklasse Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert.
  • Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames 
    • HINWEIS: Es gibt noch weitere Gruppenobjektklassen außer groupOfUniqueNames und groupOfNames.  Verwenden Sie die Objektklasse, die auf dem LDAP-Server konfiguriert ist.
  • Verwenden Sie für AD group
Gruppensuchpfad Dieses Feld leer gelassen werden, da „AUTHC“ in diesem Fall in der Lage ist, die gesamte Domain abzufragen. Es müssen Berechtigungen für den NMC/NetWorker-Serverzugriff gewährt werden, bevor sich diese NutzerInnen/Gruppen bei der NMC anmelden und den NetWorker-Server managen können. Geben Sie den relativen Pfad zur Domain anstelle des vollständigen DN an.
Gruppenname-Attribut Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn.
Group Member Attribute Gibt die Gruppenmitgliedschaft von NutzerInnen innerhalb einer Gruppe an.
  • Für LDAP:
    • Wenn die Gruppenobjektklasse groupOfNames, ist das Attribut in der Regel member.
    • Wenn die Gruppenobjektklasse groupOfUniqueNames, ist das Attribut in der Regel uniquemember.
  •  Bei AD ist der Wert in der Regel member.
Benutzerobjektklasse Die Objektklasse, die NutzerInnen in der LDAP- oder AD-Hierarchie identifiziert.
Zum Beispiel inetOrgPerson oder user
Nutzersuchpfad Wie der Gruppensuchpfad kann auch dieses Feld leer gelassen werden, da „AUTHC“ in diesem Fall in der Lage ist, die gesamte Domain abzufragen. Geben Sie den relativen Pfad zur Domain anstelle des vollständigen DN an.
Benutzer-ID-Attribut Die Nutzer-ID, die dem Nutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist.
  • Für LDAP ist dieses Attribut in der Regel uid.
  • Für AD ist dieses Attribut in der Regel sAMAccountName.
Beispiel: Active Directory-Integration:
Beispiel für das Hinzufügen der Active Directory-Authentifizierung zu NetWorker
HINWEIS: Wenden Sie sich an die AD/LDAP-Administration, um zu bestätigen, welche AD-/LDAP-spezifischen Felder für Ihre Umgebung erforderlich sind.
 
  1. Sobald alle Felder ausgefüllt sind, klicken Sie auf OK, um die neue Autorität hinzuzufügen.
  2. Sie können den Befehl authc_mgmt auf dem NetWorker-Server verwenden, um zu bestätigen, dass die AD/LDAP-Gruppen/‑NutzerInnen sichtbar sind:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Zum Beispiel: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
HINWEIS: Auf manchen Systemen können AUTHC-Befehle mit dem Fehler „falsches Kennwort“ fehlschlagen, selbst wenn das richtige Kennwort angegeben wurde. Dies liegt daran, dass das Kennwort als sichtbarer Text mit der Option-pangegeben wurde. Wenn Sie auf dieses Problem stoßen, entfernen Sie „-p password“ aus den Befehlen. Sie werden aufgefordert, das Kennwort einzugeben, das nach dem Ausführen des Befehls verborgen ist.
 
  1.  Wenn Sie mit dem NetWorker-Administratorkonto bei der NMC angemeldet sind, öffnen Sie Setup --> Nutzer und Rollen -->NMC-Rollen. Öffnen Sie die Eigenschaften der Rolle Console Application Administrators und geben Sie den eindeutigen Namen Distinguished Name Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.   (DN) einer AD/LDAP-Gruppe (in Schritt 5 erfasst) in das Feld „Externe Rollen“ ein. Geben Sie für NutzerInnen, die die Berechtigungen des standardmäßige NetWorker-Administrators benötigen, den AD/LDAP-Gruppen-DN in der Rolle Console Security Administrators an. Für NutzerInnen/Gruppen, die keine Administratorrechte für die NMC-Konsole benötigen, geben Sie den jeweiligen vollständigen DN in den externen Rollen Console User an.
HINWEIS: Standardmäßig ist der DN der lokalen Administratorgruppe des NetWorker-Servers bereits vorhanden. Löschen Sie diesen NICHT.
  1. Zugriffsberechtigungen müssen auch für jeden NetWorker-Server angewendet werden, der in der NMC konfiguriert ist. Das kann auf zwei Arten erfolgen:
Option 1)
Verbinden Sie den NetWorker-Server über NMC und öffnen Sie Server --> Nutzergruppen. Öffnen Sie die Eigenschaften der Rolle Application Administrators und geben Sie den eindeutigen Namen Distinguished Name Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. (DN) einer AD/LDAP-Gruppe (in Schritt 5 erfasst) in das Feld „Externe Rollen“ ein. Für NutzerInnen, die die gleichen Berechtigungen wie das standardmäßige NetWorker-Administratorkonto benötigen, müssen Sie den AD/LDAP-Gruppen-DN in der Rolle Security Administrators angeben.

HINWEIS: Standardmäßig ist der DN der lokalen Administratorgruppe des NetWorker-Servers bereits vorhanden. Löschen Sie diesen NICHT.
 
Option 2)
AD-NutzerInnen/‑Gruppen sollten Sie Admin-Rechte vergeben für nsraddadmin Befehl kann über eine Administrator- oder Root-Eingabeaufforderung auf dem NetWorker-Server ausgeführt werden: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Beispiel:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Melden Sie sich mit Ihrem AD-/LDAP-Konto (z. B. domain\user) bei der NMC an:
Beispiel für die Anmeldung als externe/r NutzerIn
Wenn ein anderer Mandant als der Standardmandant verwendet wurde, müssen Sie ihn vor der Domain angeben, z. B.: tenant\domain\user.
Das verwendete Konto wird in der oberen rechten Ecke angezeigt. NutzerInnen können Aktionen basierend auf den in NetWorker zugewiesenen Rollen durchführen.
Beispiel für die Anzeige von externen NutzerInnen nach der Anmeldung
  1. (OPTIONAL) Wenn eine AD/LDAP-Gruppe externe Zertifizierungsstellen managen soll, müssen Sie auf dem NetWorker-Server Folgendes ausführen.
    1. Öffnen Sie eine Eingabeaufforderung mit administrativen/Root-Rechten.
    2. Verwenden Sie den AD-Gruppen-DN (erfasst in Schritt 5), dem Sie FULL_CONTROL Berechtigung zum Ausführen gewähren möchten:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Beispiel: 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Informations supplémentaires

Produits concernés

NetWorker

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000156107
Type d’article: How To
Dernière modification: 16 Dec 2025
Version:  10
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.