NetWorker: AD- en LDAP-integratie en -configuratie (handleiding voor probleemoplossing)

Configuratie

De volgende artikelen kunnen helpen bij het configureren van AD of LDAP met NetWorker.

NetWorker Web User Interface (NWUI): AD/LDAP configureren: NetWorker: AD of LDAP configureren vanuit de webgebruikersinterface
van NetWorkerAD/LDAP configureren: NetWorker: AD/LDAP-authenticatie
instellenBeveiligde AD/LDAP (LDAPS) configureren: NetWorker: LDAPS-authenticatie configureren
 

Informatie om op te merken:

1. Gedetailleerde beschrijving van het probleem

• Foutmelding of schermafbeelding met de foutmelding

2. Noteer de AUTHC-server die wordt gebruikt door de NetWorker Management Console (NMC).
   1. Controleer het volgende bestand op de NMC server:

• • • Linux: /opt/lgtonmc/etc/gstd.conf
    • Windows (standaard): C:\Program Files\EMC NetWorker\Management\etc\gstd.conf

1. 2. Bevestig de authsvc_hostname is de juiste AUTHC-serverhostnaam.

3. Omgevingsdetails:

• Volledige NetWorker-serverversie, inclusief buildnummer van elke NetWorker-host (indien verschillend):
  • NetWorker-server.
  • AUTHC-server (zie bovenstaande stap 2).
  • NetWorker Management Console (NMC) server. 
    • NetWorker: Methoden voor het identificeren van de versie van de NetWorker-software
• Besturingssysteemversie van elke NetWorker-host (indien verschillend):
  • NetWorker-server.
  • AUTHC-server (zie bovenstaande stap 2).
  • NetWorker Management Console (NMC) server. 
• Directoryservice in gebruik: Active Directory of LDAP-server?
• Wordt LDAPS (AD of LDAP via SSL) gebruikt?

4. Haal de kenmerken en objectklasse op van de Active Directory- of LDAP-server.

• Distinguished Name (DN) van het bindingsaccount
• Zoekpad voor gebruikers en groepen (DN)
• Kenmerk gebruikers-id
• Gebruikersobjectklasse
• Groepsnaamkenmerk
• Groepsobjectklasse
• Attribuut groepslid

Verzamelen van informatie

1. Als er een probleem optreedt tijdens een eerste configuratie of update, controleert u welke van de volgende methoden wordt gebruikt en verzamelt u de uitvoer:

• Script: Er is een sjabloonscript dat wordt geleverd in zowel de Linux- als de Windows NetWorker-server. Het script authc-create-ad-config* wordt gebruikt wanneer de authenticatieserver Active Directory is; authc-create-ldap-config* is voor de LDAP-server.
  • Linux: /opt/nsr/authc-server/scripts/ (authc-create-ad-config.sh.template en authc-create-ldap-config.sh.template)
  • Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\ (authc-create-ad-config.bat en authc-create-ldap-config.bat)
• NMC of NWUI: Verzamel een screenshot van de configuratieparameters die zijn ingesteld in de wizard externe instantie in NMC. Zorg ervoor dat u 'Show advanced options' uitvouwt. Verzamel een screenshot van de waargenomen foutmelding. 

2. Als de AD/LDAP-configuratie is gelukt, maar er zich een probleem voordoet tijdens het aanmelden, voert u het volgende uit op de NetWorker-server:

authc_config -u Administrator -e find-all-configs 
authc_config -u Administrator -e find-config -D config-id=config-id_from_above_command

• In welke AD/LDAP-groep of gebruikers-DN's zijn ingesteld:
  • NMC: NMC ->Setup -> Gebruikers en Rollen -> NMC Roles:

• NetWorker Server: Server -> gebruikersgroepen:

3. Voert NetWorker correcte query's uit op de AD/LDAP-groepen en gebruikers:

authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username

4. Kunt u AD/LDAP-gebruikers buiten de NMC verifiëren? Voer op de NetWorker-server de volgende taken uit:

nsrlogin -t tenant_name -d domain_name -u external_username

nsrlogout

Extra hulpbronnen

• NetWorker Security Configuration Guide: https://www.dell.com/support/product-details/product/networker/docs (Moet zijn aangemeld bij de supportwebsite om de koppeling te laten werken).
• NetWorker: AD of LDAP externe authenticatie-integratie - Problemen met aanmelding of ontbrekende informatie oplossen
• Active Directory heeft een hulpprogramma genaamd ADSI Edit, waar de DN-, attributen- en objectklassen kunnen worden opgevraagd, evenals hulpprogramma's voor dsget en dsquery.
• Gebruik op een LDAP-server de opdracht ldapsearch of een vergelijkbaar hulpprogramma.
• Microsoft: Lidmaatschap van AD-gebruikersgroep ophalen met PowerShell: Get-ADPrincipalGroupMembership

• authc_config opties:

usage: authc_config
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given configuration property.
                                (e.g. -D config-domain=foo or --define
                                config-domain=foo)
                                Available property names:
                                tenant-id, tenant-name, tenant-alias,
                                tenant-details, config-id, config-tenant-id,
                                config-name, config-domain,
                                config-server-address, config-user-dn,
                                config-user-dn-password, config-user-group-attr,
                                config-user-id-attr, config-user-object-class,
                                config-user-search-filter,
                                config-user-search-path,
                                config-group-member-attr,
                                config-group-name-attr,
                                config-group-object-class,
                                config-group-search-filter,
                                config-group-search-path, config-object-class,
                                config-active-directory, config-search-subtree,
                                permission-id, permission-name,
                                permission-group-dn,
                                permission-group-dn-pattern, option-id,
                                option-name, option-value
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-tenants, find-tenant, add-tenant,
                                update-tenant, remove-tenant, find-all-configs,
                                find-config, add-config, update-config,
                                remove-config, find-all-permissions,
                                find-permission, add-permission,
                                update-permission, remove-permission,
                                find-all-options, find-option, add-option,
                                update-option, remove-option,
                                query-api-versions, query-cert-pem,
                                query-cert-pemtext, query-server-info
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.

• authc_mgmt opties:

usage: authc_mgmt
 -d <logindomain>               The domain name to use when connecting to
                                service.
 -D,--define <property=value>   Set value for given management property.
                                (e.g. -D user-name=foo or --define
                                user-name=foo)
                                Available property names:
                                user-id, user-name, user-domain, user-password,
                                user-first-name, user-last-name, user-email,
                                user-details, user-enabled, user-groups (csv
                                format), group-id, group-name, group-details,
                                group-users (csv format), query-tenant,
                                query-domain, password-new-value,
                                user-options-id, user-options-user-id,
                                user-options-password-must-change,
                                user-options-password-never-expires
 -e <operation>                 Specify an operation to execute.
                                Available operations:
                                find-all-users, find-user, add-user,
                                update-user, remove-user, update-password,
                                find-all-user-options, find-user-options,
                                update-user-options, find-all-groups,
                                find-group, add-group, update-group,
                                remove-group, query-ldap-users,
                                query-ldap-groups, query-ldap-users-for-group,
                                query-ldap-groups-for-user
 -H,--help                      Print help information
 -p <loginpassword>             The password to use when connecting to service.
 -t <logintenant>               The tenant name to use when connecting to
                                service.
 -u <loginuser>                 The user name to use when connecting to service.