NetWorker: AD eller LDAP External Authentication Integration – Feilsøke problemer med pålogging eller manglende informasjon

Summary: Denne artikkelen drøfter problemer som oppstår som følge av feil AD eller Lightweight Directory Access Protocol (LDAP)-integrasjon med NetWorker, og hvordan du løser dem.

Ez a cikk a következő(k)re vonatkozik: Ez a cikk nem vonatkozik a következő(k)re: Ez a cikk nem kapcsolódik egyetlen konkrét termékhez sem. Ez a cikk nem azonosítja az összes termékverziót.
További források megtekintése

Symptoms

  • Kan ikke logge på NetWorker-brukergrensesnittene.
  • nsrlogin Kommandoen mislykkes eller returnerer feil.
  • NetWorker-godkjenning lykkes, men brukergrensesnittet presenterer ikke dataene på riktig måte.
  • AD- eller LDAP-spørringer returnerer ingen resultater.
  • AD eller LDAP returnerer ufullstendige svar.

Cause

Active Directory (AD) eller Lightweight Directory Access Protocol (LDAP) er bedriftsimplementeringer av sentralt administrert, driftsdistribuert godkjenning av nettverksenheter.

NetWorker kan bruke denne protokollen til å autentisere brukere og godkjenne operasjoner, og erstatte den eldre metoden basert på en programvarespesifikk brukerkontodatabase.

Feil eller manglende konfigurasjonsparametere i NetWorker fører imidlertid til at AD- eller LDAP-spørringer returnerer ufullstendige resultater, eller ingen i det hele tatt.

Resolution

Når du feilsøker AD- eller LDAP-integreringsproblemer med NetWorker, bruker du authc_config og authc_mgmt -kommandoer på NetWorker-serveren.

Eksempler på disse kommandoene følger. Hvis du vil se alle tilgjengelige alternativer, kjører du hver kommando uten ekstra argumenter.

Slik finner og oppdaterer du konfigurasjonsdetaljene.

Kjør følgende kommandoer for å sende inn konfigurasjonsinformasjonen ved hjelp av brukernavnet og passordet som passer til problemet som oppstår:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

MERK: På noen systemer fører angivelse av passord som ren tekst til feil passordfeil . Kjør kommandoen på nytt uten -p password Argumentet ber om å skrive inn passordet. Erstatt # i den tredje kommandoen med config-id som ble rapportert av den første kommandoen.

Leierverdien og -navnet brukes i noen av følgende kommandoer.

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
Eksemplet ovenfor viser konfigurasjonsinnstillinger som brukes i et fungerende laboratoriemiljø med ekstern AD-godkjenning. Noen av verdiene, for eksempel: serveradresse, konfigurasjonsbruker og bruker- eller gruppesøkebaner, er spesifikke for hvert miljø. De andre verdiene er imidlertid standard AD-attributter.
 
For å reparere eventuelle feil verdier, oppdater den eksterne autoritetsressursen fra NetWorker Management Console (NMC) eller NetWorker Web User Interface (NWUI):
 
Eventuelt kan skriptmalene brukes:
 
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
 
Fyll skriptene med informasjonen din, og endre -e add-config kommandoargument til -e update-config.
NetWorker: Slik konfigurerer du LDAP/AD ved hjelp av authc_config-skript
 
MERK: for AD bruker du authc-create-ad-config og for LDAP bruker du authc-create-ldap-config skriptmal. Når du er fylt ut, fjerner du .template fra filnavnet, og kjør skriptet fra en administrasjons- eller rotledetekst.

Utgave 1: Feil konfigurasjon av bruker-ID-attributt

En feil verdi i dette feltet resulterer i en tom brukernavnkolonne ved spørring etter AD- eller LDAP-brukere. Denne kolonnen viser hvordan brukernavnet er angitt for pålogging. Kontoen rapporteres som ugyldig hvis verdien ikke er angitt. Hvis du vil hente disse verdiene, kjører du følgende:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
MERK: Brukernavn-kolonnen er tom. Den unike bruker-ID-en somer knyttet til brukerobjektet i LDAP- eller AD-hierarkiet, er vanligvis uid (LDAP) eller sAMAccountName (AD). Hvis du oppdaterer denne verdien i konfigurasjonen, korrigeres brukernavnet som rapporteres i Brukernavn-kolonnen . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

Problem 2: Config User Object Class tom eller feil.

En feil verdi i dette feltet fører til at ingen resultater returneres ved spørring av AD- eller LDAP-brukere. Bruk disse kommandoene til å teste for dette symptomet og årsaken:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
Attributtet for objektklassen som identifiserer brukerne i kataloghierarkiet,er vanligvis inetOrgPerson (LDAP) eller user (AD). 

Oppdater konfigurasjonen med disse verdiene, og test for å sikre at brukernavn og unike navn (DN) rapporteres på riktig måte: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
Feil konfigurasjonsbrukersøkebane er en annen potensiell årsak til at brukere mangler. Dette er en DN som angir søkebanen som godkjenningstjenesten skal bruke ved søk etter brukere i LDAP- eller AD-hierarkiet. Angi en søkebane som er relativ til den grunnleggende DN-en som er angitt i alternativet config-serveraddress . For AD angir du for eksempel cn=users. Bekreft med katalogadministratoren at dette feltet er riktig.
 

Problem 3: Attributtet for konfigurasjonsgruppenavner tomt eller feil.

En feil verdi i dette feltet resulterer i en tom kolonne for gruppenavn når en bruker spør etter AD- eller LDAP-grupper. Følgende kommandoer ser etter symptomer og årsak:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
Attributtet som identifiserer gruppenavnet (for eksempel cn), mangler. Oppdater konfigurasjonen med disse verdiene, og kontroller at gruppenavnene nå er oppført i Gruppenavn-kolonnen . 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

Problem 4: Objektklassen Konfigurasjonsgruppe er tom eller feil

En feil verdi i dette feltet fører til at ingen resultater returneres når en bruker spør AD- eller LDAP-grupper. Bruk disse kommandoene til å teste for symptomer og årsak:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
Objektklasseattributtet som identifiserer grupper i kataloghierarkiet, er groupOfUniqueNames (LDAP) eller groupOfNames (AD). For AD bruker du gruppe
 
Oppdater konfigurasjonen med disse verdiene, du skal nå se gruppenavn og gruppe-DN-er oppført: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
Andre potensielle årsaker til at grupper ikke vises, er:
  1. AD-brukeren som er angitt i authc_mgmt -kommandoen er ikke medlem av en AD-gruppe. Test andre brukernavn og kontakt AD-administratoren for å bekrefte bruker- eller gruppemedlemskap.
  2. Verdien for Config Group Search Path er feil. Dette er en DN som angir søkebanen som godkjenningstjenesten skal bruke når den søker etter grupper i kataloghierarkiet. Angi en søkebane som er relativ til base-DN-en du angav i alternativet config-server-address .

Additional Information

NetWorker: Veiledning for integrering og konfigurasjon av AD og LDAP

Metoder som beskriver hvordan du konfigurerer AD, LDAP, LDAPS med NetWorker:

Hvis du vil ha mer dokumentasjon, kan du se veiledningen for sikkerhetskonfigurasjon for NetWorker som er tilgjengelig på: https://www.dell.com/support/home/product-support/product/networker/docs
 

Érintett termékek

NetWorker

Termékek

NetWorker, NetWorker Management Console
Termék tulajdonságai
Article Number: 000057044
Article Type: Solution
Utoljára módosítva: 12 jún. 2025
Version:  4
Választ kaphat kérdéseire más Dell-felhasználóktól
Támogatási szolgáltatások
Ellenőrizze, hogy a készüléke rendelkezik-e támogatási szolgáltatással.