NetWorker: Slik konfigurerer du LDAPS-godkjenning

Résumé: Oversikt over konfigurasjon av AD eller Secure Lightweight Directory Access Protocol (LDAPS) med NetWorker ved hjelp av NMCs veiviser for ekstern autoritet. Denne kunnskapsartikkelen kan også brukes til instruksjoner om hvordan du oppdaterer en eksisterende konfigurasjon av en eksisterende ekstern kilde. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Denne artikkelen kan deles inn i de følgende delene. Gå nøye gjennom hver del før du fortsetter:

Forhåndskrav: 

  • Bestem hvilken vert som er authc Server. Dette er nyttig i større NetWorker-datasoner. I mindre datasoner med én enkelt NetWorker-server er NetWorker-serveren godkjenningsserveren. 
  • Bestem hvilket Java Runtime Environment som brukes for godkjenningstjenesten.
  • Angi kommandolinjevariabler for å forenkle import av CA-sertifikater som brukes for SSL med NetWorker ekstern godkjenning.

Sette opp SSL:

  • Innsamling av sertifikater som kreves for SSL-kommunikasjon med den eksterne godkjenningsserveren.
  • Importere sertifikatene som brukes til LDAPS-godkjenning, til kjøretidsmiljøet for godkjenningstjenester cacerts nøkkellager.

Konfigurere ressursen for ekstern autoritet:

  • Opprett den eksterne autoritetsressursen i godkjenningstjenesten.
  • Bestem eksterne brukere eller grupper som skal brukes for NetWorker.
  • Definer hvilke eksterne brukere eller grupper som har tilgang til NetWorker Management Console (NMC).
  • Definer NetWorker-servertillatelsene eksterne brukere og grupper har.
  • (Valgfritt) Konfigurer FULL_CONTROL sikkerhetstillatelser for en ekstern bruker eller gruppe.

Forhåndskrav:

Hvis du vil bruke LDAPS, må du importere CA-sertifikatet (eller sertifikatkjeden) fra LDAPS-serveren til NetWorker-godkjenningsserverens Java cacerts-nøkkellager.

  1. Finn ut hvilken vert som er NetWorker-godkjenningsserveren. Dette kan valideres i NMC-filen (NetWorker Management Console) serverens gstd.conf:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
MERK: Informasjonen i gstd.conf Filen inneholder en streng authsvc_hostname som definerer godkjenningsserveren som brukes til å behandle påloggingsforespørsler for NetWorker Management Console (NMC). Hvis du vil ha mer informasjon, kan du se: NetWorker: Hvordan identifisere hvilken server som er autentiseringsserveren som brukes av NMC og NWUI
  1. Identifiser Java-forekomsten som ble brukt på NetWorker-godkjenningsserveren.
Windows:
A. Søk Om i Windows-søkefeltet.
B. Fra Om klikker du på Avanserte systeminnstillinger.
C. Fra Systemegenskaper klikker du på Miljøvariabler.
D. Informasjonen i NSR_JAVA_HOME -variabelen definerer banen til Java Runtime Environment som brukes av NetWorker authc:

NSR_JAVA_HOME

    1. E. Fra en administrativ ledetekst angir du kommandolinjevariabler som angir java-installasjonsbanen som er bestemt i trinnet ovenfor:
set JAVA="Path\to\java"
Eksempel:
 Eksempel innstilling JAVA variabel Windows  
Forenkler java keytool kommandoer i Sette opp SSL og sikrer riktig cacerts -filen importerer CA-sertifikatet. Denne variabelen fjernes når kommandolinjeøkten lukkes, og forstyrrer ikke andre NetWorker-operasjoner.

Linux:

    A. Sjekk /nsr/authc/conf/installrc -fil for å se hvilken Java-plassering som ble brukt ved konfigurering av autentiseringstjenesten:

    sudo cat /nsr/authc/conf/installrc
    Eksempel:
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    MERK: Denne variabelen gjelder bare for NetWorker-prosesser. Det er mulig at echo $JAVA_HOME returnerer en annen bane; for eksempel hvis Oracle Java Runtime Environment (JRE) også er installert. I neste trinn er det viktig å bruke $JAVA_HOME bane som definert i NetWorkers /nsr/authc/conf/installrc Filen.

    B. Angi kommandolinjevariabler som angir java-installasjonsbanen som er bestemt i trinnet ovenfor.

    JAVA=/path/to/java
    Eksempel:
    innstilling java variabel Linux 
    Forenkler java keytool kommandoer i Sette opp SSL og sikrer riktig cacerts -filen importerer CA-sertifikatet. Denne variabelen fjernes når kommandolinjeøkten lukkes, og forstyrrer ikke andre NetWorker-operasjoner.

    Sette opp SSL

    Hvis du vil bruke LDAPS, må du importere CA-sertifikatet (eller sertifikatkjeden) fra LDAPS-tjeneren til JAVA-klareringsnøkkellageret. Dette kan gjøres ved hjelp av følgende fremgangsmåte:

    Hent CA-rotsertifikatet (og kjeden, hvis konfigurert) fra godkjenningsserveren.

    Linux:

    1. Åpne en hevet ledetekst på NetWorker Authentication-serveren (AUTHC).
    2. Bruk OpenSSL-verktøyet til å hente en kopi av CA-sertifikatet fra LDAPS-serveren.
    openssl s_client -showcerts -connect LDAPS_SERVER:636 2>/dev/null </dev/null
    • Linux kommer vanligvis med openssl installert. Hvis Linux-serveren finnes i miljøet, kan du bruke openssl der for å samle sertifikatfilene. Disse kan kopieres til og brukes på Windows authc Server.
    • Hvis du ikke har OpenSSL, og det ikke kan installeres, må du få AD-administratoren til å gi ett eller flere sertifikater ved å eksportere dem som Base-64-kodet x.509-format.
    • Erstatte LDAPS_SERVER med vertsnavnet eller IP-adressen til LDAPS-tjeneren.
    1. Kommandoen ovenfor sender ut CA-sertifikatet eller en kjede av sertifikater i PEM-format (Privacy Enhanced Mail), for eksempel:
    -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
...REMOVED FOR BREVITY...
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
    MERK: Hvis det finnes en kjede med sertifikater, er det siste sertifikatet CA-sertifikatet. Du må importere hvert sertifikat i kjeden i rekkefølge (ovenfra og ned) som slutter med CA-sertifikatet.
    1. Kopier sertifikatet fra og med ---BEGIN CERTIFICATE--- og slutter med ---END CERTIFICATE--- og lim den inn i en ny fil. Hvis det er en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
    2. Gå til Importere sertifikater.

    Windows:

    Windows har ikke OpenSSL installert som standard. Hvis det er installert på systemet ditt, kan du følge de samme instruksjonene fra Linux-delen ovenfor. Hvis det ikke er installert, kan du installere det fra en tredjepartsplattform eller bruke følgende trinn for å samle inn sertifikatet uten OpenSSL.

    1. Åpne en forhøyet PowerShell-ledetekst på NetWorker Authentication-serveren (AUTHC).
    2. Kjør følgende skript, erstatt EXTERNAL_AUTH_SERVER_ADDRESS med LDAP- eller Active Directory-vertsnavnet eller IP-adressen din:
    $server = "EXTERNAL_AUTH_SERVER_ADDRESS"
$port   = 636

$tcp = New-Object System.Net.Sockets.TcpClient
$tcp.Connect($server, $port)

$ssl = New-Object System.Net.Security.SslStream(
    $tcp.GetStream(),
    $false,
    { param($sender,$cert,$chain,$errors) $true }
)

try {
    $ssl.AuthenticateAsClient($server)

    "=== Protocol ==="
    $ssl.SslProtocol
    "=== Cipher ==="
    "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
    ""
    "=== Server Certificate ==="

    $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)

    "Subject  : $($remoteCert.Subject)"
    "Issuer   : $($remoteCert.Issuer)"
    "NotBefore: $($remoteCert.NotBefore)"
    "NotAfter : $($remoteCert.NotAfter)"
    ""

    $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
    "-----BEGIN CERTIFICATE-----"
    $b64
    "-----END CERTIFICATE-----"
}
finally {
    $ssl.Dispose()
    $tcp.Dispose()
}
    ADVARSEL: Denne skriptblokken er for eksempel bare bruk. Dette kan mislykkes i enkelte miljøer på grunn av en bestemt Windows-versjon eller sikkerhetshåndhevelsespolicyer på systemet. Hvis det ikke er mulig å hente sertifikatene direkte fra NetWorker-serveren, må du ta kontakt med domeneadministratoren for å få den nødvendige rotsertifiseringsinstansen og eventuelle mellomliggende sertifikater (hvis konfigurert). Du kan også bruke en Linux-server til å samle inn sertifikatene (som vist i Linux-instruksjonene ovenfor).
    Eksempel:
    PS C:\Users\administrator.AMER> $server = "dc.amer.lan"
PS C:\Users\administrator.AMER> $port   = 636
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $tcp = New-Object System.Net.Sockets.TcpClient
PS C:\Users\administrator.AMER> $tcp.Connect($server, $port)
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $ssl = New-Object System.Net.Security.SslStream(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender,$cert,$chain,$errors) $true }
>> )
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> try {
>>     $ssl.AuthenticateAsClient($server)
>>
>>     "=== Protocol ==="
>>     $ssl.SslProtocol
>>     "=== Cipher ==="
>>     "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
>>     ""
>>     "=== Server Certificate (exactly what the DC sends) ==="
>>
>>     $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
>>
>>     "Subject  : $($remoteCert.Subject)"
>>     "Issuer   : $($remoteCert.Issuer)"
>>     "NotBefore: $($remoteCert.NotBefore)"
>>     "NotAfter : $($remoteCert.NotAfter)"
>>     ""
>>
>>     $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
>>     "-----BEGIN CERTIFICATE-----"
>>     $b64
>>     "-----END CERTIFICATE-----"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Protocol ===
Tls13
=== Cipher ===
Aes256 (256-bit)

=== Server Certificate ===
Subject  : CN=DC.amer.lan
Issuer   : CN=amer-DC-CA, DC=amer, DC=lan
NotBefore: 11/29/2025 01:17:22
NotAfter : 11/29/2026 01:17:22

-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgITNAAAAAT93FoJVZwLkQAAAAAABDANBgkqhkiG9w0BAQsFADBAMRMwEQYK
...REMOVED FOR BREVITY...
c1HhZw24yOwFSOtTQg==
-----END CERTIFICATE-----
    MERK: Skriptet returnerer ett sertifikat hvis det bare finnes en rotsertifiseringsinstans. Ytterligere sertifikater vises hvis mellomliggende sertifikater er konfigurert og vises av serveren.
    1. Kopier sertifikatet fra og med ---BEGIN CERTIFICATE--- og slutter med ---END CERTIFICATE--- og lim den inn i en ny fil. Hvis det er en kjede av sertifikater, må du gjøre dette med hvert sertifikat.
    2. Gå til Importere sertifikater.

    Importere sertifikater:

    MERK: Prosessen nedenfor bruker kommandolinjevariabler angitt etter delen Forutsetninger . Hvis kommandolinjevariablene ikke er angitt, angir du hele java-banen i stedet.
    1. Åpne en administrativ/rotledetekst.
    2. Vis en liste over gjeldende klarerte sertifikater i klareringslageret.
    • For NetWorker 19.12.x (JRE 8.x) og tidligere:
    Windows:  
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    • For NetWorker 19.13 (JDK 17.x) og nyere:
    Windows: 
    %JAVA%\bin\keytool -list -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -list -cacerts -storepass changeit
    3. Se gjennom listen etter et alias som samsvarer med LDAPS-serveren din (dette finnes kanskje ikke). Du kan bruke operativsystemet grep eller findstr kommandoer med kommandoen ovenfor for å begrense søket. Hvis det finnes et utdatert eller eksisterende CA-sertifikat fra LDAPS-tjeneren, sletter du det med følgende kommando:
    • For NetWorker 19.12.x (JRE 8.x) og tidligere:
    Windows:  
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    • For NetWorker 19.13 (JDK 17.x) og nyere:
    Windows: 
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    MERK: Erstatt ALIAS_NAME med aliasnavnet for det gamle eller utløpte sertifikatet fra trinn 2.
    7. Importer sertifikat- eller sertifikatfilene som er opprettet i JAVA-klareringsnøkkellageret:
      • For NetWorker 19.12.x (JRE 8.x) og tidligere:
      Windows:  
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:
      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • For NetWorker 19.13 (JDK 17.x) og nyere:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:  
      $JAVA/bin/keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Erstatt ALIAS_NAME med et alias for det importerte sertifikatet (for eksempel RCA (rotsertifiseringsinstans)). Når du importerer flere sertifikater for en sertifikatkjede, må hvert sertifikat ha forskjellige ALIAS-navn og importeres separat. Sertifikatkjeden må også importeres i rekkefølge fra trinn 5 (ovenfra og ned).
      • Erstatt PATH_TO\CERT_FILE med plasseringen av cert-filen du opprettet i trinn 6.
      8. Du blir bedt om å importere sertifikatet, skriver du inn yes og trykk Enter. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Bekreft at sertifikatet vises i nøkkellageret (de samme kommandoene som i trinn 2).
      MERK: Rør (|) operativsystemet grep eller findstr kommando til ovenstående for å begrense resultatet. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Start NetWorker-servertjenestene på nytt. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      MERK: Start NetWorker-servertjenestene på nytt for å sikre at AUTHC leser cacerts-filen og oppdager importerte sertifikater for SSL-kommunikasjon med LDAP-serveren.
       

      Konfigurere ressursen for ekstern autoritet

      Denne kunnskapsartikkelen fokuserer på å bruke NetWorker Management Console (NMC) til å konfigurere LDAP over SSL. Når du konfigurerer AD over SSL,anbefales det å bruke NetWorker Web User Interface (NWUI). Denne prosessen er detaljert i:

      Hvis en av artiklene følges, kan du gå til delen der den eksterne autoritetsressursen opprettes, det er ikke nødvendig å gjenta prosedyren for sertifikatimport.

      MERK: Denne KB kan følges når du konfigurerer AD over SSL. Det kreves imidlertid ytterligere trinn. Disse trinnene er beskrevet nedenfor.

      1. Logg på NetWorker Management Console (NMC) med NetWorker Administrator-kontoen din. Velg Oppsett-> Brukere og roller -> Ekstern autoritet.
      2. Opprett eller endre din eksisterende eksterne autoritetskonfigurasjon, velg LDAP over SSL fra rullegardinmenyen Servertype. Dette endrer automatisk porten fra 389 til 636:
      Eksempel på å legge til AD over SSL fra NMC
      MERK: Utvid feltet Vis avanserte alternativer, og kontroller at de riktige verdiene er angitt for godkjenningsserveren. Se feltet Tilleggsinformasjon for denne kunnskapsartikkelen for en tabell som forklarer feltene og verdiene.

      For Active Directory over SSL:

      ADVARSEL: Når du bruker NMC-innstillingen «LDAP over SSL» med Microsoft Active Directory, settes den interne konfigurasjonsparameteren «is active directory» til false. Dette forhindrer vellykket AD-godkjenning i NetWorker. Følgende trinn kan brukes til å rette opp dette.

      A. Få detaljer om konfigurasjons-ID-en:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Eksempel:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Bruk authc_config kommando for å angi is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      MERK: Verdiene som kreves for disse feltene, kan hentes fra trinn A.
       
      Eksempel:
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      Den eksterne autoritetsressursen er nå riktig konfigurert for Microsoft Active Directory.

       
      3. Du kan bruke authc_mgmt på NetWorker-serveren for å bekrefte at AD/LDAP-gruppene/brukerne er synlige: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Eksempel:
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      MERK: På noen systemer vil authc Kommandoer kan mislykkes med feilmeldingen "Feil passord" selv når riktig passord er angitt. Dette skyldes at passordet er spesifisert som synlig tekst med "-p" alternativ. Hvis du støter på dette, fjern "-p password" fra kommandoene. Du blir bedt om å skrive inn passordet som er skjult etter å ha kjørt kommandoen.
       

      Konfigurere NMC til å godta ekstern godkjenning:

      4. Når du er logget på NMC som standard NetWorker Administrator-konto, åpner du Setup-->Users and Roles-NMC> Roles. Åpne egenskapene for rollen Konsollprogramadministratorer, og skriv inn det unike navnet Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. (DN) til en AD/LDAP-gruppe i feltet eksterne roller . For brukere som krever samme nivåtillatelser som standard NetWorker Administrator-konto, angir du AD/LDAP-gruppen DN i rollen Sikkerhetsadministratorer for konsoll . For AD-brukere eller grupper som ikke trenger administrative rettigheter til NMC Console, legger du til hele DN-en i de eksterne rollene for konsollbrukeren.

      Eksempel på eksterne roller angitt i NMC-roller 
      MERK: Som standard finnes det allerede DN for LOKALE administratorer for NetWorker-serveren. Ikke slett denne.
       

      Konfigurere eksterne brukertillatelser for NetWorker-serveren:

      5. Koble NetWorker-serveren fra NMC, åpne Server-->User Groups. Skriv inn det unike navnet (DN) for en AD/LDAP-gruppe i feltet eksterne roller i rolleegenskapene for programadministratorer . For brukere som krever samme nivåtillatelser som standard NetWorker Administrator-konto, må du angi AD/LDAP-gruppen DN i rollen Sikkerhetsadministratorer.
      Konfigurere nsr-brukergrupper med eksterne brukere eller grupper
      MERK: Som standard finnes det allerede DN for LOKALE administratorer for NetWorker-serveren. Ikke slett denne.
       
      Alternativt kan du bruke nsraddadmin For å oppnå dette for eksterne brukere/grupper som skal ha fullstendige administratorrettigheter for NetWorker: 
      nsraddadmin -e "USER/GROUP_DN"
      Eksempel: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Få tilgang til NMC:
      Du skal ha tilgang til NMC- og NetWorker-serveren med de eksterne brukerne som har fått tillatelse til å gjøre det.
      Logge på som ekstern bruker
      Når brukeren er logget på, vises vedkommende øverst til høyre i NMC:
      NMC viser AD-bruker

      Ekstra sikkerhetstillatelser

      6. (VALGFRITT) Hvis du vil at en AD/LDAP-gruppe skal kunne administrere eksterne instanser, må du utføre følgende på NetWorker-serveren.
       
      A. Åpne en administrativ / rotledetekst.
      B. Ved hjelp av AD-gruppen DN vil du gi FULL_CONTROL tillatelse til å kjøre: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Eksempel:
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Informations supplémentaires

      Hvis du vil ha mer informasjon, kan du se veiledningen for sikkerhetskonfigurasjon for NetWorker som er tilgjengelig via: https://www.dell.com/support/home/product-support/product/networker/docs

      Konfigurasjonsverdier:

      Servertype Velg LDAP hvis godkjenningsserveren er en Linux/UNIX LDAP-tjener, Active Directory hvis du bruker en Microsoft Active Directory-server.
      Autoritetsnavn Angi et navn for denne eksterne godkjenningsinstansen. Dette navnet kan være hva du vil at det skal være, det er bare å skille mellom andre myndigheter når flere er konfigurert.
      Navn på leverandørserver Dette feltet skal inneholde det fullstendige domenenavnet (FQDN) til AD- eller LDAP-serveren.
      Leietaker Leiere kan brukes i miljøer der mer enn én godkjenningsmetode kan brukes, eller når flere instanser må konfigureres. Standardleieren er valgt som standard. Bruk av leietakere endrer påloggingsmetoden. Logg på NMC med domene\bruker som standardleier eller leietaker\domenebrukerbruker for andre leietakere.
      Domene Angi det fullstendige domenenavnet (unntatt et vertsnavn). Dette er vanligvis din grunnleggende DN, som består av domenekomponentverdiene dine (DC) for domenet ditt. 
      Portnummer For LDAP- og AD-integrering bruker du port 389. For LDAP over SSL bruker du port 636.
      Disse portene er ikke-NetWorker-standardporter på AD/LDAP-serveren.
      Bruker DN Angi det unike navnet (DN) til en brukerkonto som har full lesetilgang til LDAP- eller AD-katalogen.
      Angi den relative DN-en til brukerkontoen, eller hele DN-en hvis du overstyrer verdien som er angitt i Domain-feltet.
      DN-passord for bruker Angi passordet til brukerkontoen som er angitt.
      Objektklasse for gruppe Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet.
      • For LDAP bruker du groupOfUniqueNames eller groupOfNames 
        MERK: Det finnes andre gruppeobjektklasser bortsett fra groupOfUniqueNames og groupOfNames.  Bruk objektklassen som er konfigurert på LDAP-tjeneren.
      • For AD, bruk group
      Banen for gruppesøk Dette feltet kan da stå tomt authc er i stand til å spørre hele domenet. Det må gis tillatelser for tilgang til NMC-/NetWorker-serveren før disse brukerne/gruppene kan logge på NMC og administrere NetWorker-serveren. Angi den relative banen til domenet i stedet for full DN.
      Attributt for gruppenavn Attributtet som identifiserer gruppenavnet. For eksempel, cn
      Attributt for gruppemedlem Gruppemedlemskapet til brukeren i en gruppe
      • For LDAP:
        • Når gruppeobjektklassen er groupOfNames, er attributtet vanligvis member.
        • Når gruppeobjektklassen er groupOfUniqueNames, er attributtet vanligvis uniquemember.
      •  For AD er verdien vanligvis member.
      Brukerobjektklasse Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet.
      For eksempel, inetOrgPerson eller user
      Bane for brukersøk I likhet med Group Search Path kan dette feltet stå tomt, i så fall kan AUTHC spørre hele domenet. Angi den relative banen til domenet i stedet for full DN.
      User ID Attribute Bruker-ID-en som er knyttet til brukerobjektet i LDAP- eller AD-hierarkiet.
      • For LDAP er denne egenskapen vanligvis uid.
      • For AD er dette attributtet vanligvis sAMAccountName.

      Andre relevante artikler:

      Produits concernés

      NetWorker

      Produits

      NetWorker Family, NetWorker Management Console
      Propriétés de l’article
      Numéro d’article: 000156132
      Type d’article: How To
      Dernière modification: 25 Mar 2026
      Version:  18
      Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
      Services de support
      Vérifiez si votre appareil est couvert par les services de support.