NetWorker. Настройка аутентификации AD/LDAP

Résumé: В данной статье базы знаний представлен обзор добавления внешнего центра доступа в NetWorker с помощью мастера внешних прав доступа NetWorker Management Console (NMC). Наряду с учетной записью администратора NetWorker NetWorker или другими локальными учетными записями NMC можно использовать аутентификацию LDAP Active Directory (AD) или Linux. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

ПРИМЕЧАНИЕ. Для интеграции AD через SSL для настройки внешнего центра сертификации необходимо использовать веб-интерфейс пользователя NetWorker. См . NetWorker. Настройка AD через SSL (LDAPS) из веб-интерфейса пользователя NetWorker (NWUI).

 

Внешние ресурсы авторитета можно создавать и управлять ими с помощью консоли управления NetWorker Management Console (NMC), веб-интерфейса пользователя NetWorker (NWUI) или сценариев AUTHC.

  • Консоль управления NetWorker Management Console (NMC): Войдите в NMC с помощью учетной записи администратора NetWorker. Перейдите в раздел Настройка-Пользователи>и Роли-Внешние>авторитеты.
  • Пользовательский веб-интерфейс (NMC) NetWorker: Войдите в NWUI с помощью учетной записи администратора NetWorker. Перейдите в раздел Сервер проверки подлинности —>Внешние центры сертификации.
ПРИМЕЧАНИЕ. В этой статье базы знаний показано, как добавить AD/LDAP с помощью NMC. Подробные инструкции по использованию NWUI см. в разделе: NetWorker. Настройка AD или LDAP с помощью веб-интерфейса пользователя NetWorker.

Предварительные требования

Внешняя аутентификация (AD или LDAP) интегрирована в базу данных сервера аутентификации NetWorker (AUTHC). Он не является непосредственной частью баз данных NMC или NWUI. В средах с одним сервером NetWorker хостом AUTHC является сервер NetWorker. В средах с несколькими серверами NetWorker, управляемыми через один NMC, только один из серверов NetWorker является сервером AUTHC. Определение хоста AUTHC требуется для authc_mgmt Команды, используемые на последующих шагах этой статьи. Сервер AUTHC определяется в папке gstd.conf .

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (по умолчанию): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    ПРИМЕЧАНИЕ. Переменная gstd.conf содержит строку authsvc_hostname , которая определяет сервер аутентификации, используемый для обработки запросов на вход для NetWorker Management Console (NMC).

Процесс:

Войдите в NetWorker Management Console (NMC) с учетной записью администратора NetWorker по умолчанию. На вкладке>«Настройка» — «Пользователи и роли» появилась новая опция «Внешний авторитет».

Окно настройки NetWorker Management Console для репозитория внешнего источника доступа
 
  1. Чтобы добавить новый центр сертификации,щелкните правой кнопкой мыши в окне «Внешний авторитет» и выберите пункт Создать.
  2. В поле Внешний центр аутентификации необходимо заполнить обязательные поля информацией AD/LDAP.
  3. Установите флажок «Show Advanced Options», чтобы увидеть все поля.
«Server Type» Выберите LDAP, если сервер аутентификации представляет собой сервер Linux/UNIX LDAP, или Active Directory, если используется сервер Microsoft Active Directory.
«Authority Name» Укажите имя для внешнего источника аутентификации. Это имя может быть любым; оно нужно лишь для того, чтобы отличать этот источник аутентификации от других, если настроено несколько источников.
«Provider Server Name» Это поле должно содержать полное доменное имя (FQDN) сервера AD или LDAP.
«Tenant» Клиенты можно использовать в средах, где может использоваться несколько методов проверки подлинности или когда необходимо настроить несколько центров сертификации. По умолчанию выбран клиент «default». Использование клиентов приводит к изменению способа входа в систему. Войдите в NMC с помощью «domain\user» для клиента по умолчанию или «tenant\domain\user» для других клиентов.
«Domain» Укажите полное доменное имя (за исключением имени хоста). Как правило, это базовое отличительное имя (DN), которое состоит из значений компонентов домена (DC) вашего домена. 
«Port Number» Для интеграции LDAP и AD используйте порт 389. Для LDAP over SSL используйте порт 636. Эти порты не являются портами NetWorker по умолчанию на сервере AD/LDAP.
ПРИМЕЧАНИЕ. Для настройки SSL недостаточно изменить порт на 636. Сертификат CA (и цепочка, если используется цепочка) должны быть импортированы с сервера домена на сервер AUTHC. См . NetWorker. Настройка AD через SSL (LDAPS) из веб-интерфейса пользователя NetWorker (NWUI).
«User DN» Укажите различающееся имяЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.  (DN) учетной записи пользователя, имеющей полный доступ на чтение к каталогу LDAP или AD.
Укажите относительное отличительное имя учетной записи пользователя или полное доменное имя, если задается значение, заданное в поле Домен.
«User DN Password» Введите пароль указанной учетной записи пользователя.
«Group Object Class» Класс объектов, который идентифицирует группы в иерархии LDAP или AD.
  • Для LDAP используйте groupOfUniqueNames или groupOfNames 
    • ПРИМЕЧАНИЕ. Существуют другие классы объектов групп, помимо groupOfUniqueNames и groupOfNames.  Используйте класс объектов, настроенный на сервере LDAP.
  • Для AD используйте group
«Group Search Path» Это поле можно оставить пустым, и в этом случае AUTHC сможет запрашивать весь домен. Прежде чем эти пользователи/группы смогут войти в NMC и управлять сервером NetWorker, необходимо предоставить разрешения на доступ к серверу NMC/NetWorker. Укажите относительный путь к домену вместо полного DN.
«Group Name Attribute» Атрибут, определяющий имя группы; Например, cn.
«Group Member Attribute» Определяет членство пользователя в группе.
  • Для LDAP:
    • Если для параметра «Group Object Class» задано значение groupOfNames, атрибут обычно имеет вид member.
    • Если для параметра «Group Object Class» задано значение groupOfUniqueNames, атрибут обычно имеет вид uniquemember.
  •  Для AD значение обычно равно member.
«User Object Class» Класс объектов, который идентифицирует пользователей в иерархии LDAP или AD.
Например, inetOrgPerson или user
«User Search Path» Как и путь группового поиска, это поле можно оставить пустым, и в этом случае AUTHC сможет запросить весь домен. Укажите относительный путь к домену вместо полного DN.
«User ID Attribute» Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD.
  • Для LDAP обычно используется атрибут uid.
  • Для AD обычно используется атрибут sAMAccountName.
Например, интеграция с Active Directory:
Пример добавления проверки подлинности Active Directory в NetWorker
ПРИМЕЧАНИЕ. Проконсультируйтесь с администратором AD/LDAP, чтобы узнать, какие поля AD/LDAP необходимо заполнить для вашей среды.
 
  1. После заполнения всех полей нажмите OK, чтобы добавить новый центр сертификации.
  2. Можно использовать команду authc_mgmt на сервере AUTHC NetWorker, чтобы подтвердить видимость групп/пользователей AD/LDAP:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Например: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
ПРИМЕЧАНИЕ. В некоторых системах команды AUTHC могут завершаться сбоем с ошибкой «неверный пароль», даже если указан правильный пароль. Это связано с тем, что пароль указан в форме видимого текста с параметром «-p». При возникновении этой проблемы удалите «-p password» из команд. После выполнения команды вам будет предложено ввести скрытый пароль.
 
  1.  Войдя в NMC под учетной записью администратора NetWorker по умолчанию, откройте Setup-->Users and Roles-->NMC Roles. Откройте свойства роли «Администраторы консольных приложений» и введите отличительное имяЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.  (DN) группы AD/LDAP (собранное на шаге 5) в поле «Внешние роли». Для пользователей, которым требуются разрешения администратора NetWorker по умолчанию, укажите различающееся имя группы AD/LDAP в роли «Console Security Administrators». Для пользователей/групп, которым не нужны права администратора на NMC Console, добавьте свое полное DN в разделе "Пользователь консоли" - внешние роли.
ПРИМЕЧАНИЕ. По умолчанию уже существует отличительное имя группы «ЛОКАЛЬНЫЕ администраторы» сервера NetWorker, НЕ удаляйте его.
  1. Кроме того, для каждого сервера NetWorker, настроенного в NMC, необходимо также применить права доступа. Это можно сделать одним из двух способов:
Вариант 1)
Подключите сервер NetWorker из NMC, откройте Server-->User Groups. Откройте свойства роли «Application Administrators» и введите различающееся имяЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. (DN) группы AD/LDAP (собранное на шаге 5) в поле «Внешние роли». Для пользователей, которым требуются разрешения того же уровня, что и учетной записи администратора NetWorker по умолчанию, необходимо указать различающееся имя группы AD/LDAP в роли "Администраторы безопасности".

ПРИМЕЧАНИЕ. По умолчанию уже существует отличительное имя группы «ЛОКАЛЬНЫЕ администраторы» сервера NetWorker, НЕ удаляйте его.
 
Вариант 2)
Пользователям или группам AD, которым необходимо предоставить права администратора nsraddadmin можно выполнить из командной строки администратора или пользователя root на сервере NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Пример:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Войдите в NMC с помощью учетной записи AD/LDAP (например, домен\пользователь):
Пример входа в систему с использованием внешнего пользователя
Если использовался клиент, отличный от клиента по умолчанию, его необходимо указать перед доменом, например: tenant\domain\user.
Используемая учетная запись отображается в правом верхнем углу. Пользователь может выполнять действия на основе ролей, назначенных в NetWorker.
Пример внешнего пользователя после входа в систему
  1. (ДОПОЛНИТЕЛЬНЫЙ) Если требуется, чтобы группа AD/LDAP могла управлять внешними источниками власти, на сервере NetWorker необходимо выполнить следующие действия.
    1. Откройте командную строку с правами администратора/пользователя root.
    2. С помощью различающегося имени группы AD (полученного на шаге 5) вы хотите предоставить FULL_CONTROL Разрешение на запуск:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Например 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Informations supplémentaires

Produits concernés

NetWorker

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000156107
Type d’article: How To
Dernière modification: 16 déc. 2025
Version:  10
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.