NetWorker:如何設定 AD/LDAP 驗證

Résumé: 本知識文章概述如何使用 NetWorker Management Console (NMC) 外部授權精靈,將外部授權新增至 NetWorker。Active Directory (AD) 或 Linux LDAP 認證可與預設 NetWorker 系統管理員帳戶或其他本機 NMC 帳戶一起使用。

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

注意:若為 AD over SSL 整合,應使用 NetWorker Web 使用者介面來設定外部授權。請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)。

 

外部授權資源可從 NetWorker Management Console (NMC)、NetWorker Web 使用者介面 (NWUI) 或 AUTHC 指令檔建立和管理:

  • NetWorker 管理主控台 (NMC):使用 NetWorker 系統管理員帳戶登入 NMC。前往 設定->使用者和角色->外部授權
  • NetWorker Web 使用者介面 (NMC):使用 NetWorker 系統管理員帳戶登入 NWUI。前往驗證伺服器 ->外部授權單位
注意:此 KB 顯示如何使用 NMC 新增 AD/LDAP。如需使用 NWUI 的詳細說明,請參閱:NetWorker:如何從 NetWorker Web 使用者介面設定 AD 或 LDAP。

先決條件:

外部認證 (AD 或 LDAP) 已整合至 NetWorker 認證 (AUTHC) 伺服器的資料庫中。它不直接屬於 NMC 或 NWUI 資料庫。在具有單一 NetWorker 伺服器的環境中,NetWorker 伺服器為 AUTHC 主機。在有多個 NetWorker 伺服器,且透過單一 NMC 管理的環境中,只有其中一個 NetWorker 伺服器是 AUTHC 伺服器。必須確定 AUTHC 主機 authc_mgmt 本文後續步驟中使用的命令。可在 NetWorker Management Console (NMC) 伺服器識別 AUTHC 伺服器 gstd.conf 檔案:

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (預設): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    注意:可使用 gstd.conf 檔案包含字串 authsvc_hostname 其定義用於處理 NetWorker Management Console (NMC) 登入要求的驗證伺服器。

程序:

使用預設的 NetWorker 系統管理員帳戶登入 NetWorker Management Console (NMC)。在 設定 標籤 -->使用者和角色下,有一個外部授權的新選項。

外部授權儲存庫的 NetWorker 管理主控台設定視窗
 
  1. 要添加新頒發機構,請在外部頒發機構視窗中按一下滑鼠右鍵,然後選擇新建
  2. 在外部認證機構方塊中,您必須在必填欄位中填入您的 AD/LDAP 資訊。
  3. 勾選「顯示進階選項」方塊以查看所有欄位。
伺服器類型 如果驗證伺服器是 Linux/UNIX LDAP 伺服器,請選取 LDAP,如果您使用 Microsoft Active Directory 伺服器,請選取 Active Directory。
授權單位名稱 為此外部驗證授權單位提供名稱。此名稱可以是您想要的任何名稱,它只是為了在設定多個授權單位時區分其他授權單位。
供應商伺服器名稱 此欄位應包含 AD 或 LDAP 伺服器的完整網域名稱 (FQDN)。
租戶 租戶可用於可能使用多種認證方法,或是必須設定多個授權單位的環境中。預設為選取「預設」租戶。使用租戶會更改您的登入方法。若為預設租戶,請使用「domain\user」登入 NMC,若為其他租戶則使用「tenant\domain\user」登入 NMC。
網域 指定您的完整網域名稱 (不包括主機名稱)。通常,這是您的基本可分辨名稱 (DN),由域的域元件 (DC) 值組成。 
連接埠號碼 若為 LDAP 和 AD 整合,請使用連接埠 389。若為 LDAP over SSL,請使用連接埠 636。這些連接埠是 AD/LDAP 伺服器上的非 NetWorker 預設連接埠。
注意:將連接埠變更為 636 不足以設定 SSL。CA 證書(和鏈,如果使用鏈)必須從域伺服器導入到 AUTHC 伺服器。請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)。
使用者 DN 指定對 LDAP 或 AD 目錄具有完全讀取存取權限的使用者帳戶的 辨別名稱此超連結會帶您前往 Dell Technologies 以外的網站。  (DN)。
指定使用者帳戶的相對 DN,如果覆蓋「域」欄位中設置的值,則指定完整 DN。
使用者 DN 密碼 指定所指定使用者帳戶的密碼。
群組物件類別 識別 LDAP 或 AD 階層中群組的物件類別。
  • 若為 LDAP,請使用 groupOfUniqueNamesgroupOfNames 
    • 注意:除以下項目外,還有其他群組物件類別: groupOfUniqueNamesgroupOfNames。  使用在 LDAP 伺服器中設定的任何物件類別。
  • 若為 AD,請使用 group
群組搜尋路徑 此欄位可以保留空白,在這種情況下,AUTHC 能夠查詢完整的域。必須先授予 NMC/NetWorker 伺服器存取權限,這些使用者/群組才能登入 NMC 並管理 NetWorker 伺服器。指定域的 相對 路徑,而不是完整 DN。
群組名稱屬性 標識組名稱的屬性;例如 ,CN
群組成員屬性 指定組內使用者的組成員身份。
  • 對於 LDAP:
    • 當群組物件類別為 groupOfNames 屬性通常為 member
    • 當群組物件類別為 groupOfUniqueNames 屬性通常為 uniquemember
  •  對於 AD,該值通常為 member
使用者物件類別 識別 LDAP 或 AD 階層中使用者的物件類別。
例如, inetOrgPersonuser
使用者搜尋路徑 與群組搜尋路徑一樣,此欄位可以保留空白,在這種情況下,AUTHC 能夠查詢完整的域。指定域的 相對 路徑,而不是完整 DN。
使用者 ID 屬性 與 LDAP 或 AD 階層中使用者物件相關聯的使用者 ID。
  • 對於 LDAP,此屬性通常是 uid
  • 對於 AD,此屬性通常是 sAMAccountName
例如,Active Directory 整合:
將 Active Directory 認證新增至 NetWorker 的範例
注意:若要確認您的環境需要哪些 AD/LDAP 特定欄位,請向您的 AD/LDAP 管理員洽詢。
 
  1. 填入所有欄位後,按一下確定以新增授權單位。
  2. 您可以使用 authc_mgmt 命令,以確認 AD/LDAP 群組/使用者可見:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
例如: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
注意:在某些系統上,即使提供了正確的密碼,AUTHC 命令也可能失敗並出現「不正確的密碼」錯誤。這是因為密碼使用-p」選項指定為可見文字。如果您遇到這種情況,請從命令移除「-p password」。執行命令後,系統會提示您輸入隱藏的密碼。
 
  1.  以預設 NetWorker 系統管理員帳戶登入 NMC 時,請開啟設定-->使用者和角色-->NMC 角色。開啟「主控台應用程式管理員」角色的屬性,並在外部角色欄位中輸入 AD/LDAP 群組 (在步驟 5 中收集) 的 辨別名稱此超連結會帶您前往 Dell Technologies 以外的網站。  (DN)。對於需要預設 NetWorker 管理員權限的使用者,請在「主控台安全性管理員」角色中指定 AD/LDAP 群組 DN。對於不需要 NMC 主控台管理權限的使用者/群組,請在「主控台使用者」-外部角色中新增其完整 DN。
注意:根據預設,已存在 NetWorker 伺服器的本機系統管理員群組的 DN,請勿刪除。
  1. 每個在 NMC 中設定的 NetWorker 伺服器也必須套用存取權限。這可以通過以下兩種方式之一完成:
選項 1)
從 NMC 連線 NetWorker 伺服器,開啟伺服器 -->使用者群組。開啟「應用程式管理員」角色的屬性,並在外部角色欄位中輸入 AD/LDAP 群組 (在步驟 5 中收集) 的 辨別名稱此超連結會帶您前往 Dell Technologies 以外的網站。 (DN)。對於需要與預設 NetWorker 系統管理員帳戶相同層級權限的使用者,您必須在「安全性管理員」角色中指定 AD/LDAP 群組 DN。

注意:根據預設,已存在 NetWorker 伺服器的本機系統管理員群組的 DN,請勿刪除。
 
選項 2)
對於您想要授予管理員權限的 AD 使用者/群組 nsraddadmin 命令可從 NetWorker 伺服器上的管理員或 root 命令提示字元執行: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
範例:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. 使用您的 AD/LDAP 帳戶 (例如:domain\user) 登入 NMC:
以外部使用者登入的範例
如果使用了預設租戶以外的租戶,則必須在網域之前指定該租戶,例如:tenant\domain\user。
使用的帳戶顯示在右上角。使用者可以根據 NetWorker 中指派的角色來執行動作。
外部使用者登入後的外觀範例
  1. (選擇性)如果您想要讓 AD/LDAP 群組能夠管理外部授權單位,您必須在 NetWorker 伺服器上執行下列步驟。
    1. 開啟系統管理/root 命令提示字元。
    2. 使用要授予的 AD 組 DN(在步驟 5 中收集) FULL_CONTROL 執行權限:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
例如 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Informations supplémentaires

Produits concernés

NetWorker

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000156107
Type d’article: How To
Dernière modification: 16 déc. 2025
Version:  10
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.