NetWorker: Så här ställer du in AD/LDAP-autentisering

Résumé: Den här kunskapsbasartikeln innehåller en översikt över hur du lägger till en extern utfärdare i NetWorker med hjälp av NetWorker Management Consoles (NMC) guide för extern utfärdare. Active Directory (AD) eller Linux LDAP-autentisering kan användas tillsammans med NetWorker-standardadministratörskontot eller andra lokala NMC-konton. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Obs! För AD över SSL-integreringar ska NetWorker-webbanvändargränssnittet användas för att konfigurera den externa utfärdaren. Se NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI).

 

Externa auktoritetsresurser kan skapas och hanteras från NetWorker Management Console (NMC), NetWorker-webbanvändargränssnittet (NWUI) eller AUTHC-skript:

  • NetWorker-hanteringskonsol (NMC): Logga in på NMC med NetWorker-administratörskontot. Gå till Inställningar-Användare>och roller-Externa>utfärdare.
  • NetWorker-webbanvändargränssnitt (NMC): Logga in på NWUI med NetWorker-administratörskontot. Gå till Autentiseringsserver-externa>utfärdare.
Obs! I den här kunskapsbasartikeln visas hur du lägger till AD/LDAP med hjälp av NMC. Detaljerade anvisningar om hur du använder NWUI finns i: NetWorker: Konfigurera AD eller LDAP från NetWorker-webbanvändargränssnittet.

Nödvändig förhandsåtgärd:

Extern autentisering (AD eller LDAP) är integrerad i databasen på NetWorker-autentiseringsservern (AUTHC). Den är inte direkt en del av NMC- eller NWUI-databaserna. I miljöer med en enda NetWorker-server är NetWorker-servern AUTHC-värd. I miljöer med flera NetWorker-servrar, som hanteras via en enda NMC, är endast en av NetWorker-servrarna AUTHC-servern. Att fastställa AUTHC-värden är obligatoriskt för authc_mgmt Kommandon som används i senare steg i den här artikeln. AUTHC-servern identifieras i NetWorker Management Console-serverns (NMC) gstd.conf Filen:

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (Standard): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    Obs! Informationen gstd.conf Filen innehåller en sträng authsvc_hostname som definierar den autentiseringsserver som används för att behandla inloggningsförfrågningar för NetWorker Management Console (NMC).

Process:

Logga in på NetWorker Management Console (NMC) med standardkontot för NetWorker-administratör. Under fliken Inställningar –>Användare och roller finns ett nytt alternativ för Extern utfärdare.

NetWorker Management Console: Konfigurationsfönster för lagringsplats för extern utfärdare
 
  1. Om du vill lägga till en ny utfärdarehögerklickar du i fönstret Extern utfärdare och väljer Ny.
  2. I rutan Extern autentiseringsutfärdare måste du fylla i de obligatoriska fälten med din AD/LDAP-information.
  3. Markera rutan "Show Advanced Options" för att se alla fält.
Servertyp Välj LDAP om autentiseringsservern är en Linux/UNIX LDAP-server, Active Directory om du använder en Microsoft Active Directory-server.
Auktoritetsnamn Ange ett namn för den externa autentiseringsutfärdaren. Det här namnet kan vara vad du vill att det ska vara, det är bara för att skilja mellan andra auktoriteter när flera är konfigurerade.
Providerns servernamn Det här fältet ska innehålla det fullständigt kvalificerade domännamnet (FQDN) för din AD- eller LDAP-server.
Hyresgästen Klienter kan användas i miljöer där mer än en autentiseringsmetod kan användas eller när flera myndigheter måste konfigureras. Som standard är klientorganisationen "standard" vald. Användningen av klienter ändrar din inloggningsmetod. Logga in på NMC med "domän\användare" för standardklientorganisationen eller "klient\domän\användare" för andra klientorganisationer.
Domän Ange ditt fullständiga domännamn (exklusive värdnamn). Vanligtvis är detta ditt basunika namn (DN) som består av dina domänkomponentvärden (DC) för din domän. 
Portnummer Använd port 389 för LDAP- och AD-integrering. För LDAP över SSL använder du port 636. Dessa portar är standardportar som inte kommer från NetWorker på AD/LDAP-servern.
Obs! Det räcker inte att ändra porten till 636 för att konfigurera SSL. CA-certifikatet (och kedjan, om en kedja används) måste importeras från domänservern till AUTHC-servern. Se NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI).
Användar-DN Ange det unika namnetDen här hyperlänken tar dig till en webbplats utanför Dell Technologies.  (DN) för ett användarkonto som har fullständig läsåtkomst till LDAP- eller AD-katalogen.
Ange det relativa DN för användarkontot, eller det fullständiga DN om det åsidosätter det värde som anges i fältet Domän.
Användarens DN-lösenord Ange lösenordet för det angivna användarkontot.
Klassen Gruppobjekt Objektklassen som identifierar grupper i LDAP- eller AD-hierarkin.
  • För LDAP använder du groupOfUniqueNames eller groupOfNames 
    • Obs! Det finns andra gruppobjektklasser förutom groupOfUniqueNames och groupOfNames.  Använd den objektklass som är konfigurerad på LDAP-servern.
  • För AD använder du group
Sökväg för grupp Det här fältet kan lämnas tomt, i vilket fall AUTHC kan fråga hela domänen. Behörigheter måste beviljas för NMC/NetWorker-serveråtkomst innan dessa användare/grupper kan logga in på NMC och hantera NetWorker-servern. Ange den relativa sökvägen till domänen i stället för fullständigt DN.
Attribut för gruppnamn Attributet som identifierar gruppnamnet. Till exempel CN.
Attribut för gruppmedlem Anger gruppmedlemskapet för användaren i en grupp.
  • För LDAP:
    • När gruppobjektklassen är groupOfNamesär attributet vanligtvis member.
    • När gruppobjektklassen är groupOfUniqueNamesär attributet vanligtvis uniquemember.
  •  För AD är värdet vanligtvis member.
Användarobjektklass Objektklassen som identifierar användarna i LDAP- eller AD-hierarkin.
Till exempel, inetOrgPerson eller user
Sökväg för användare Precis som sökvägen för grupper kan det här fältet lämnas tomt, i vilket fall AUTHC kan fråga hela domänen. Ange den relativa sökvägen till domänen i stället för fullständigt DN.
Attribut för användar-ID Det användar-ID som är associerat med användarobjektet i LDAP- eller AD-hierarkin.
  • För LDAP är det här attributet ofta uid.
  • För AD är det här attributet ofta sAMAccountName.
Till exempel Active Directory-integrering:
Exempel på hur du lägger till Active Directory-autentisering i NetWorker
Obs! Rådgör med AD/LDAP-administratören för att bekräfta vilka AD/LDAP-specifika fält som behövs för din miljö.
 
  1. När alla fält har fyllts i klickar du på OK för att lägga till den nya utfärdaren.
  2. Du kan använda authc_mgmt på NetWorker AUTHC-servern för att bekräfta att AD/LDAP-grupperna/-användarna är synliga:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Exempel: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
Obs! På vissa system kan AUTHC-kommandona misslyckas med ett "felaktigt lösenord"-fel även när rätt lösenord anges. Detta beror på att lösenordet anges som synlig text med "-p"-alternativet. Om du stöter på detta, ta bort "-p password" från kommandona. Du kommer att bli ombedd att ange lösenordet dolt efter att du har kört kommandot.
 
  1.  När du är inloggad på NMC som NetWorker-administratörskonto öppnar du Inställningar--Användare> och roller--NMC-roller>. Öppna egenskaperna för rollen "Konsolprogramadministratörer" och ange det unika namnetDen här hyperlänken tar dig till en webbplats utanför Dell Technologies.  (DN) för en AD/LDAP-grupp (samlas in i steg 5) i fältet för externa roller. För användare som behöver standardbehörighet som NetWorker-administratör anger du AD/LDAP-gruppens DN i rollen "Konsolsäkerhetsadministratörer". För användare/grupper som inte behöver administratörsbehörighet till NMC-konsolen lägger du till deras fullständiga DN i "Konsolanvändare" – externa roller.
Obs! Som standard finns redan DN för NetWorker-serverns grupp LOCAL Administrators. Ta INTE bort den.
  1. Åtkomstbehörigheter måste också tillämpas per NetWorker-server som konfigurerats i NMC. Detta kan göras på ett av två sätt:
Alternativet 1)
Anslut NetWorker-servern från NMC och öppna Server-->User Groups. Öppna egenskaperna för rollen "Programadministratörer" och ange det unika namnetDen här hyperlänken tar dig till en webbplats utanför Dell Technologies. (DN) för en AD/LDAP-grupp (samlas in i steg 5) i fältet för externa roller. För användare som behöver behörigheter på samma nivå som NetWorker-standardadministratörskontot måste du ange AD/LDAP-gruppens DN i rollen "Säkerhetsadministratörer".

Obs! Som standard finns redan DN för NetWorker-serverns grupp LOCAL Administrators. Ta INTE bort den.
 
Alternativet 2)
För AD-användare/-grupper som du vill ge administratörsrättigheter till nsraddadmin -kommandot kan köras från en administratör eller rotkommandotolken på NetWorker-servern: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Exempel:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Logga in på NMC med ditt AD/LDAP-konto (t.ex. domän\användare):
Exempel på inloggning med en extern användare
Om en annan klientorganisation än standardklientorganisationen användes måste du ange den före domänen, till exempel: klientorganisation\domän\användare.
Det konto som används visas i det övre högra hörnet. Användaren kan utföra åtgärder baserat på de roller som tilldelats i NetWorker.
Exempel på hur den externa användaren visas när han eller hon är inloggad
  1. (VALFRITT) Om du vill att en AD/LDAP-grupp ska kunna hantera externa auktoriteter måste du göra följande på NetWorker-servern.
    1. Öppna en administrativ/rotkommandotolk.
    2. Med hjälp av AD-gruppens DN (samlas in i steg 5) som du vill bevilja FULL_CONTROL Behörighet att köra:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Till exempel 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Informations supplémentaires

Produits concernés

NetWorker

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000156107
Type d’article: How To
Dernière modification: 16 déc. 2025
Version:  10
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.