NetWorker: come configurare l'autenticazione AD/LDAP

Résumé: Questo articolo della KB fornisce una panoramica su come aggiungere un'autorità esterna a NetWorker utilizzando la relativa procedura guidata di NetWorker Management Console (NMC). Inoltre, l'autenticazione LDAP Active Directory (AD) o Linux può essere utilizzata in combinazione con l'account NetWorker Administrator predefinito o con altri account NMC locali. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

NOTA: per le integrazioni AD over SSL, è necessario utilizzare NetWorker Web User Interface per configurare l'autorità esterna. Vedere NetWorker: come configurare "AD over SSL" (LDAPS) da NWUI (NetWorker Web User Interface).

 

Le risorse di autorità esterne possono essere create e gestite dagli script NetWorker Management Console (NMC), NetWorker Web User Interface (NWUI) o AUTHC:

  • NetWorker Management Console (NMC): accedere a NMC utilizzando l'account NetWorker Administrator. Passare a Setup->Users and Roles->External Authorities.
  • NetWorker Web User Interface (NWUI): accedere a NWUI utilizzando l'account NetWorker Administrator. Passare ad Authentication Server->External Authorities.
NOTA: questo articolo della KB mostra come aggiungere AD/LDAP mediante NMC. Per istruzioni dettagliate sull'utilizzo di NWUI, vedere: NetWorker: come configurare AD o LDAP da NetWorker Web User Interface.

Prerequisiti:

L'autenticazione esterna (AD o LDAP) è integrata nel database del server AUTHC (NetWorker Authentication). Non fa direttamente parte dei database NMC o NWUI. Negli ambienti con un solo server NetWorker, il server NetWorker è l'host AUTHC. Negli ambienti con più server NetWorker, gestiti tramite un unico server NMC, solo uno dei server NetWorker è il server AUTHC. La determinazione dell'host AUTHC è necessaria per i comandi authc_mgmt utilizzati nelle fasi successive di questo articolo. Il server AUTHC è identificato nel file gstd.conf del server NetWorker Management Console (NMC):

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (impostazione predefinita): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    NOTA: La colonna gstd.conf contiene una stringa authsvc_hostname che definisce il server di autenticazione utilizzato per elaborare le richieste di accesso per NMC (NetWorker Management Console).

Process:

Accedere a NMC (NetWorker Management Console) con l'account NetWorker Administrator predefinito. Nella scheda Setup -->User and Roles, è presente una nuova opzione per External Authority.

Finestra di configurazione di Networker Management Console per il repository di autorità esterne
 
  1. Per aggiungere una nuova autorità, cliccare con il pulsante destro del mouse nella finestra External Authority e selezionare New.
  2. Nella casella External Authentication Authority è necessario compilare i campi obbligatori con le informazioni AD/LDAP.
  3. Selezionare la casella "Show Advanced Options" per visualizzare tutti i campi.
Server Type Selezionare LDAP se il server di autenticazione è un server LDAP Linux/UNIX, Active Directory se si utilizza un server Microsoft Active Directory.
Authority Name Fornire un nome per questa autorità di autenticazione esterna. È possibile scegliere un nome qualsiasi, in quanto serve solo per distinguere l'autorità dalle altre quando ne sono configurate più di una.
Provider Server Name Questo campo deve contenere il nome di dominio completo (FQDN) del proprio server AD o LDAP.
Tenant I tenant possono essere utilizzati negli ambienti in cui è possibile utilizzare più di un metodo di autenticazione o quando è necessario configurare più autorità. Per impostazione predefinita, è selezionato il tenant "default". L'utilizzo di tenant modifica il metodo di accesso. Accedere a NMC con "domain\user" per il tenant predefinito o "tenant\domain\user" per altri tenant.
Domain Specificare il nome di dominio completo (escluso un nome host). In genere si tratta del nome distinto (DN) di base, costituito dai valori DC (Domain Component) del proprio dominio. 
Port Number Per l'integrazione LDAP e AD, utilizzare la porta 389. Per LDAP over SSL, utilizzare la porta 636. Queste sono porte non predefinite di NetWorker sul server AD/LDAP.
NOTA: la modifica della porta in 636 non è sufficiente per la configurazione SSL. Il certificato CA (e la catena, se ne viene utilizzata una) deve essere importato dal server di dominio al server AUTHC. Vedere NetWorker: come configurare "AD over SSL" (LDAPS) da NWUI (NetWorker Web User Interface).
User DN Specificare il nome distinto Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. (DN) di un account utente con accesso in lettura completo alla directory LDAP o AD.
Specificare il DN relativo dell'account utente o il DN completo se si desidera sovrascrivere il valore impostato nel campo Domain.
User DN Password Specificare la password dell'account utente specificato.
Group Object Class Classe di oggetti che identifica i gruppi nella gerarchia LDAP o AD.
  • Per LDAP, utilizzare groupOfUniqueNames oppure groupOfNames 
    • NOTA: esistono altre classi di oggetti gruppo oltre a groupOfUniqueNames e groupOfNames.  Utilizzare qualsiasi classe di oggetti configurata nel server LDAP.
  • Per AD, utilizzare group
Group Search Path Questo campo può essere lasciato vuoto. In tal caso, AUTHC è in grado di eseguire query sul dominio completo. È necessario concedere autorizzazioni per l'accesso al server NMC/NetWorker prima che questi utenti/gruppi possano accedere a NMC e gestire il server NetWorker. Specificare il percorso relativo al dominio anziché il DN completo.
Group Name Attribute Attributo che identifica il nome del gruppo, ad esempio cn.
Group Member Attribute Specifica l'appartenenza al gruppo dell'utente all'interno di un gruppo.
  • Per LDAP:
    • Quando Group Object Class è groupOfNames, l'attributo è in genere member.
    • Quando Group Object Class è groupOfUniqueNames, l'attributo è in genere uniquemember.
  •  Per AD, il valore è in genere member.
User Object Class Classe di oggetti che identifica gli utenti nella gerarchia LDAP o AD.
Ad esempio inetOrgPerson oppure user
User Search Path Come Group Search Path, questo campo può essere lasciato vuoto. In tal caso, AUTHC è in grado di eseguire query sul dominio completo. Specificare il percorso relativo al dominio anziché il DN completo.
User ID Attribute ID utente associato all'oggetto utente nella gerarchia LDAP o AD.
  • Per LDAP, questo attributo è comunemente uid.
  • Per AD, questo attributo è comunemente sAMAccountName.
Ad esempio, integrazione Active Directory:
Esempio di aggiunta dell'autenticazione Active Directory a NetWorker
NOTA: consultare il proprio amministratore AD/LDAP per verificare quali campi specifici AD/LDAP sono necessari per il proprio ambiente.
 
  1. Una volta compilati tutti i campi, cliccare su OK per aggiungere la nuova autorità.
  2. È possibile utilizzare il comando authc_mgmt sul server AUTHC NetWorker per verificare che i gruppi/utenti AD/LDAP siano visibili:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Esempio: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
NOTA: in alcuni sistemi, i comandi AUTHC potrebbero non riuscire con un errore "incorrect password" anche quando si inserisce la password corretta. Ciò è dovuto al fatto che la password è stata specificata come testo visibile con l'opzione "-p". Se si verifica questo problema, rimuovere "-p password" dai comandi. Verrà richiesto di inserire la password nascosta dopo l'esecuzione del comando.
 
  1.  Dopo aver effettuato l'accesso a NMC con l'account NetWorker Administrator predefinito, aprire Setup-->Users and Roles-->NMC Roles. Aprire le proprietà del ruolo "Console Application Administrators" e inserire il nome distinto Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. (DN) di un gruppo AD/LDAP (raccolto al passaggio 5) nel campo External Roles. Per gli utenti che richiedono autorizzazioni dell'account NetWorker Administrator predefinito, specificare il DN del gruppo AD/LDAP nel ruolo "Console Security Administrators". Per gli utenti/gruppi AD che non necessitano di diritti di amministrativi per la console NMC, aggiungere il loro DN completo in "Console User" - External Roles.
NOTA: per impostazione predefinita è già presente il DN del gruppo di amministratori LOCAL del server NetWorker. NON eliminarlo.
  1. È inoltre necessario applicare le autorizzazioni di accesso per ogni server NetWorker configurato in NMC. Questa operazione è possibile in due modi:
Opzione 1.
Connettere il server NetWorker da NMC, aprire Server-->User Groups. Aprire le proprietà del ruolo "Application Administrators" e inserire il nome distinto Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. (DN) di un gruppo AD/LDAP (raccolto al passaggio 5) nel campo External Roles. Per gli utenti che richiedono le stesse autorizzazioni dell'account NetWorker Administrator predefinito, è necessario specificare il DN del gruppo AD/LDAP nel ruolo "Security Administrators".

NOTA: per impostazione predefinita è già presente il DN del gruppo di amministratori LOCAL del server NetWorker. NON eliminarlo.
 
Opzione 2.
Per gli utenti/gruppi AD a cui si desidera concedere diritti di amministratore, è possibile eseguire il comando nsraddadmin da un prompt dei comandi amministrativo o root sul server NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Esempio:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Accedere a NMC utilizzando l'account AD/LDAP (ad esempio: domain\user):
Esempio di accesso come utente esterno
Se è stato utilizzato un tenant diverso da quello predefinito, è necessario specificarlo prima del dominio, ad esempio tenant\domain\user.
L'account utilizzato viene visualizzato nell'angolo in alto a destra. L'utente può eseguire azioni in base ai ruoli assegnati in NetWorker.
Esempio di visualizzazione dell'utente esterno dopo l'accesso
  1. (OPZIONALE) Se si desidera che un gruppo AD/LDAP possa gestire le autorità esterne, è necessario eseguire le seguenti operazioni sul server NetWorker.
    1. Aprire un prompt dei comandi con privilegi di amministratore/root.
    2. Utilizzare il DN del gruppo AD (raccolto al passaggio 5) a cui si desidera concedere l'autorizzazione FULL_CONTROL all'esecuzione:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Esempio 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Informations supplémentaires

Produits concernés

NetWorker

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000156107
Type d’article: How To
Dernière modification: 16 Dec 2025
Version:  10
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.