NetWorker: come configurare l'autenticazione LDAPS

Riepilogo: Panoramica della configurazione di AD o LDAPS (Secure Lightweight Directory Access Protocol) con NetWorker utilizzando la procedura guidata External Authority di NMC. Questo articolo può essere utilizzato anche per istruzioni sull'aggiornamento di una configurazione di un'autorità esterna esistente. ...

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Istruzioni

Questo articolo può essere suddiviso nelle sezioni seguenti. Esaminare attentamente ogni sezione prima di procedere:

Prerequisiti: 

  • Determinare quale host è il server authc Windows. Questa operazione è utile per le datazone NetWorker di dimensioni maggiori. Nelle datazone di dimensiono inferiori con un solo server NetWorker, il server NetWorker è il server di autenticazione. 
  • Determinare quale Java Runtime Enviroment è utilizzato per il servizio di autenticazione.
  • Impostare le variabili della riga di comando per facilitare l'importazione dei certificati CA utilizzati per SSL con l'autenticazione esterna di NetWorker.

Configurazione SSL:

  • Raccolta dei certificati necessari per la comunicazione SSL con il server di autenticazione esterno.
  • Importare i certificati utilizzati per l'autenticazione LDAPS nell'archivio chiavi cacerts dell'ambiente di runtime dei servizi di autenticazione.

Configurazione della risorsa autorità esterna:

  • Creare la risorsa autorità esterna nel servizio di autenticazione.
  • Determinare gli utenti o i gruppi esterni da utilizzare per NetWorker.
  • Definire gli utenti o i gruppi esterni che hanno accesso a NMC (NetWorker Management Console).
  • Definire le autorizzazioni di utenti e gruppi esterni al server NetWorker.
  • (Opzionale) Configurare le autorizzazioni di sicurezza FULL_CONTROL per un utente o un gruppo esterno.

Prerequisiti:

Per utilizzare LDAPS, è necessario importare il certificato CA (o la catena di certificati) dal server LDAPS nell'archivio chiavi cacerts Java del server di autenticazione NetWorker.

  1. Determinare quale host è il server di autenticazione NetWorker. È possibile verificarlo nel file gstd.conf del server NMC (NetWorker Management Console):
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
NOTA: La colonna gstd.conf contiene una stringa authsvc_hostname che definisce il server di autenticazione utilizzato per elaborare le richieste di accesso per NMC (NetWorker Management Console). Per ulteriori informazioni, consultare: NetWorker: Come identificare il server di autenticazione utilizzato da NMC e NWUI
  1. Sul server di autenticazione NetWorker, identificare l'istanza Java utilizzata.
Windows:
A. Cercare informazioni nella barra di ricerca di Windows.
B. In Informazioni, cliccare su Impostazioni di sistema avanzate.
C. In Proprietà del sistema, cliccare su Variabili di ambiente.
D. La colonna NSR_JAVA_HOME definisce il percorso del Java Runtime Environment utilizzato da authc:

NSR_JAVA_HOME

    1. E. Da un prompt dei comandi con privilegi di amministratore, impostare le variabili della riga di comando che specificano il percorso di installazione java determinato nel passaggio precedente:
set JAVA="Path\to\java"
Esempio:
 Esempio di impostazione della variabile JAVA in Windows  
Facilita i comandi keytool java in Configurazione SSL e assicura che il file cacerts corretto importi il certificato CA. Questa variabile viene rimossa una volta chiusa la sessione della riga di comando e non interferisce con altre operazioni NetWorker.

Linux:

    A. Esaminare il file /nsr/authc/conf/installrc per vedere quale posizione Java è stata utilizzata durante la configurazione del servizio di autenticazione:

    sudo cat /nsr/authc/conf/installrc
    Esempio:
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    NOTA: questa variabile si applica solo ai processi NetWorker. È possibile che echo $JAVA_HOME restituisce un percorso diverso; ad esempio, se è installato anche Oracle Java Runtime Environment (JRE). Nel passaggio successivo, è importante utilizzare il percorso $JAVA_HOME come definito nel file /nsr/authc/conf/installrc di NetWorker.

    B. Impostare le variabili della riga di comando specificando il percorso di installazione Java determinato nel passaggio precedente.

    JAVA=/path/to/java
    Esempio:
    impostazione della variabile java in Linux 
    Facilita i comandi keytool java in Configurazione SSL e assicura che il file cacerts corretto importi il certificato CA. Questa variabile viene rimossa una volta chiusa la sessione della riga di comando e non interferisce con altre operazioni NetWorker.

    Configurazione SSL

    Per utilizzare LDAPS, è necessario importare il certificato CA (o la catena di certificati) dal server LDAPS nell'archivio chiavi di attendibilità JAVA. Questa operazione può essere eseguita come segue:

    Ottenere il certificato CA radice (e la catena, se configurata) dal server di autenticazione.

    Linux:

    1. Aprire un prompt con privilegi elevati nel server NetWorker Authentication (AUTHC).
    2. Utilizzare lo strumento OpenSSL per ottenere una copia del certificato CA dal server LDAPS.
    openssl s_client -showcerts -connect LDAPS_SERVER:636 2>/dev/null </dev/null
    • Linux è in genere fornito con openssl installato. Se sono presenti server Linux nell'ambiente, è possibile utilizzare openssl al loro interno per raccogliere i file di certificato. Questi file possono essere copiati e utilizzati nel server authc Windows.
    • Se non si dispone di OpenSSL e non può essere installato, farsi dare dall'amministratore AD uno o più certificati esportandoli come formato codificato Base 64 X.509.
    • Sostituire LDAPS_SERVER con il nome host o l'indirizzo IP del server LDAPS.
    1. Il comando sopra riportato genera il certificato CA o una catena di certificati in formato PEM (Privacy Enhanced Mail), ad esempio:
    -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
...REMOVED FOR BREVITY...
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
    NOTA: se è presente una catena di certificati, l'ultimo certificato è il certificato CA. È necessario importare ciascun certificato della catena in ordine (dall'alto verso il basso) terminando con il certificato CA.
    1. Copiare il certificato a partire da ---BEGIN CERTIFICATE--- e finendo con ---END CERTIFICATE--- e incollarlo in un nuovo file. Se è presente una catena di certificati, è necessario eseguire questa operazione con ogni certificato.
    2. Passare a Importing certificates.

    Windows:

    Windows non dispone di OpenSSL installato per impostazione predefinita. Se è installato sul sistema, è possibile seguire le stesse istruzioni della sezione Linux precedente. Se non è installato, è possibile installarlo da una piattaforma di terze parti o utilizzare la seguente procedura per raccogliere il certificato senza OpenSSL.

    1. Aprire un prompt PowerShell con privilegi elevati nel server NetWorker Authentication (AUTHC).
    2. Eseguire lo script seguente, sostituendo EXTERNAL_AUTH_SERVER_ADDRESS con il nome host o l'IP LDAP o Active Directory (AD):
    $server = "EXTERNAL_AUTH_SERVER_ADDRESS"
$port   = 636

$tcp = New-Object System.Net.Sockets.TcpClient
$tcp.Connect($server, $port)

$ssl = New-Object System.Net.Security.SslStream(
    $tcp.GetStream(),
    $false,
    { param($sender,$cert,$chain,$errors) $true }
)

try {
    $ssl.AuthenticateAsClient($server)

    "=== Protocol ==="
    $ssl.SslProtocol
    "=== Cipher ==="
    "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
    ""
    "=== Server Certificate ==="

    $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)

    "Subject  : $($remoteCert.Subject)"
    "Issuer   : $($remoteCert.Issuer)"
    "NotBefore: $($remoteCert.NotBefore)"
    "NotAfter : $($remoteCert.NotAfter)"
    ""

    $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
    "-----BEGIN CERTIFICATE-----"
    $b64
    "-----END CERTIFICATE-----"
}
finally {
    $ssl.Dispose()
    $tcp.Dispose()
}
    AVVERTENZA: Questo blocco di script è utilizzato solo come esempio. Questa operazione potrebbe non riuscire in alcuni ambienti a causa di una versione specifica di Windows o di policy di applicazione della sicurezza sul sistema. Se non è possibile ottenere i certificati direttamente dal server NetWorker, è necessario contattare l'amministratore di dominio per ottenere la CA root richiesta ed eventuali certificati intermedi (se configurati). In alternativa, utilizzare un server Linux per raccogliere i certificati (come illustrato nelle istruzioni Linux riportate sopra).
    Esempio:
    PS C:\Users\administrator.AMER> $server = "dc.amer.lan"
PS C:\Users\administrator.AMER> $port   = 636
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $tcp = New-Object System.Net.Sockets.TcpClient
PS C:\Users\administrator.AMER> $tcp.Connect($server, $port)
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $ssl = New-Object System.Net.Security.SslStream(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender,$cert,$chain,$errors) $true }
>> )
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> try {
>>     $ssl.AuthenticateAsClient($server)
>>
>>     "=== Protocol ==="
>>     $ssl.SslProtocol
>>     "=== Cipher ==="
>>     "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
>>     ""
>>     "=== Server Certificate (exactly what the DC sends) ==="
>>
>>     $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
>>
>>     "Subject  : $($remoteCert.Subject)"
>>     "Issuer   : $($remoteCert.Issuer)"
>>     "NotBefore: $($remoteCert.NotBefore)"
>>     "NotAfter : $($remoteCert.NotAfter)"
>>     ""
>>
>>     $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
>>     "-----BEGIN CERTIFICATE-----"
>>     $b64
>>     "-----END CERTIFICATE-----"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Protocol ===
Tls13
=== Cipher ===
Aes256 (256-bit)

=== Server Certificate ===
Subject  : CN=DC.amer.lan
Issuer   : CN=amer-DC-CA, DC=amer, DC=lan
NotBefore: 11/29/2025 01:17:22
NotAfter : 11/29/2026 01:17:22

-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgITNAAAAAT93FoJVZwLkQAAAAAABDANBgkqhkiG9w0BAQsFADBAMRMwEQYK
...REMOVED FOR BREVITY...
c1HhZw24yOwFSOtTQg==
-----END CERTIFICATE-----
    NOTA: Lo script restituisce un certificato se è presente solo una CA radice. I certificati aggiuntivi vengono visualizzati se i certificati intermedi sono configurati e vengono esposti dal server.
    1. Copiare il certificato a partire da ---BEGIN CERTIFICATE--- e finendo con ---END CERTIFICATE--- e incollarlo in un nuovo file. Se è presente una catena di certificati, è necessario eseguire questa operazione con ogni certificato.
    2. Passare a Importing certificates.

    Importazione dei certificati:

    NOTA: il processo seguente utilizza variabili della riga di comando impostate seguendo la sezione Prerequisiti. Se le variabili della riga di comando non sono impostate, specificare il percorso java completo.
    1. Aprire un prompt dei comandi con privilegi di amministratore/root.
    2. Visualizzare un elenco dei certificati attendibili correnti nell'archivio attendibilità.
    • Per NetWorker 19.12.x (JRE 8.x) e versioni precedenti:
    Windows:  
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Per NetWorker 19.13 (JDK 17.x) e versioni successive:
    Windows: 
    %JAVA%\bin\keytool -list -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -list -cacerts -storepass changeit
    3. Esaminare l'elenco per individuare un alias corrispondente al server LDAPS (potrebbe non esistere). È possibile utilizzare i comandi grep oppure findstr del sistema operativo con il comando precedente per restringere la ricerca. Se è presente un certificato CA obsoleto o esistente dal server LDAPS, eliminarlo con il seguente comando:
    • Per NetWorker 19.12.x (JRE 8.x) e versioni precedenti:
    Windows:  
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Per NetWorker 19.13 (JDK 17.x) e versioni successive:
    Windows: 
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    NOTA: Sostituire ALIAS_NAME con il nome alias dei certificati precedenti o scaduti del passaggio 2.
    7. Importare il file del certificato o i file dei certificati creati nell'archivio chiavi di attendibilità JAVA:
      • Per NetWorker 19.12.x (JRE 8.x) e versioni precedenti:
      Windows:  
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:
      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Per NetWorker 19.13 (JDK 17.x) e versioni successive:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:  
      $JAVA/bin/keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Sostituire ALIAS_NAME con un alias per il certificato importato (ad esempio RCA (root CA)). Quando si importano più certificati per una catena di certificati, ogni certificato deve avere un nome ALIAS diverso e deve essere importato separatamente. Anche la catena di certificati deve essere importata nell'ordine del passaggio 5 (dall'alto verso il basso).
      • Sostituire PATH_TO/CERT_FILE con la posizione del file di certificato creato nel passaggio 6.
      8. Viene richiesto di importare il certificato. Digitare yes e premere Invio. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Verificare che il certificato sia visualizzato nell'archivio chiavi (stessi comandi del passaggio 2).
      NOTA: Aggiungere una barra verticale (|con il comando grep oppure findstr a quanto sopra per restringere il risultato. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Riavviare i servizi del server NetWorker. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      NOTA: Riavviare i servizi del server NetWorker per garantire che AUTHC legga il file cacerts e rilevi i certificati importati per la comunicazione SSL con il server LDAP.
       

      Configurazione della risorsa autorità esterna

      Questo articolo della Knowledge Base si incentra sull'utilizzo di NMC (NetWorker Management Console) per la configurazione di LDAP over SSL. Quando si configura AD su SSL,si consiglia di utilizzare NetWorker Web User Interface (NWUI). Questo processo è descritto in dettaglio in:

      Se si segue uno degli articoli, è possibile passare alla parte in cui viene creata la risorsa autorità esterna; non è necessario ripetere la procedura di importazione del certificato.

      NOTA: è possibile seguire questo articolo durante la configurazione di AD over SSL; tuttavia, sono necessari ulteriori passaggi. Questi passaggi sono descritti di seguito.

      1. Accedere a NMC (NetWorker Management Console) con l'account amministratore di NetWorker. Selezionare Setup-->Users and Roles-->External Authority.
      2. Creare o modificare la configurazione dell'autorità esterna esistente, selezionare LDAP over SSL dall'elenco a discesa Server Type. Questa operazione modifica automaticamente la porta da 389 a 636:
      Esempio di aggiunta di AD over SSL da NMC
      NOTA: espandere il campo Show Advanced Options e verificare che siano impostati i valori corretti per il server di autenticazione. Vedere la sezione Informazioni aggiuntive di questo articolo per una tabella che spiega i campi e i valori.

      Per Active Directory over SSL:

      AVVERTENZA: utilizzando l'impostazione "LDAP over SSL" di NMC con Microsoft Active Directory, si imposta un parametro di configurazione interno "is active directory" su "false". Ciò impedisce l'esito positivo dell'autenticazione AD in NetWorker. Per risolvere il problema, è possibile effettuare le seguenti operazioni.

      A. Ottenere i dettagli dell'ID di configurazione:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Esempio:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Utilizzare il comando authc_config per impostare is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      NOTA: i valori richiesti per questi campi possono essere ottenuti dal passaggio A.
       
      Esempio:
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      La risorsa autorità esterna è ora configurata correttamente per Microsoft Active Directory.

       
      3. È possibile utilizzare il comando authc_mgmt sul server NetWorker per verificare che i gruppi/utenti AD/LDAP siano visibili: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Esempio:
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      NOTA: su alcuni sistemi, i comandi authc potrebbero non riuscire con un errore "incorrect password" anche quando si inserisce la password corretta. Ciò è dovuto al fatto che la password è stata specificata come testo visibile con l'opzione "-p". Se si verifica questo problema, rimuovere "-p password" dai comandi. Verrà richiesto di inserire la password nascosta dopo l'esecuzione del comando.
       

      Configurazione di NMC per accettare l'autenticazione esterna:

      4. Dopo aver effettuato l'accesso a NMC con l'account amministratore NetWorker predefinito, aprire Setup-->Users and Roles-->NMC Roles. Aprire le proprietà del ruolo Console Application Administrators e inserire il nome distinto Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. (DN) di un gruppo AD/LDAP nel campo External Roles. Per gli utenti che richiedono le stesse autorizzazioni dell'account amministratore NetWorker predefinito, specificare il DN del gruppo AD/LDAP nel ruolo Console Security Administrators. Per gli utenti o i gruppi AD che non necessitano di diritti di amministrativi alla console NMC, aggiungere il loro DN completo nei ruoli esterni Console User.

      Esempio di ruoli esterni impostati nei ruoli NMC 
      NOTA: per impostazione predefinita è già presente il DN del gruppo di amministratori LOCAL del server NetWorker. Non eliminarlo.
       

      Configurazione delle autorizzazioni utente esterne del server NetWorker:

      5. Connettere il server NetWorker da NMC, aprire Server-->User Groups. Inserire il nome distinto (DN) di un gruppo AD/LDAP nel campo External Roles delle proprietà del ruolo Application Administrators. Per gli utenti che richiedono le stesse autorizzazioni dell'account amministratore NetWorker predefinito, è necessario specificare il DN del gruppo AD/LDAP nel ruolo Security Administrators.
      Configurazione dei gruppi di utenti nsr con utenti o gruppi esterni
      NOTA: per impostazione predefinita è già presente il DN del gruppo di amministratori LOCAL del server NetWorker. Non eliminarlo.
       
      In alternativa, è possibile utilizzare nsraddadmin per ottenerlo per gli utenti/gruppi esterni che devono disporre di diritti di amministratore NetWorker completi: 
      nsraddadmin -e "USER/GROUP_DN"
      Esempio: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Accedere a NMC:
      È necessario avere accesso a NMC e al server NetWorker con gli utenti esterni a cui è stata concessa l'autorizzazione a farlo.
      accesso come utente esterno
      Una volta effettuato l'accesso, l'utente viene visualizzato nell'angolo superiore destro di NMC:
      NMC che mostra l'utente AD

      Autorizzazioni di sicurezza aggiuntive

      6. (OPZIONALE) Se si desidera che un gruppo AD/LDAP possa gestire le autorità esterne, è necessario eseguire le seguenti operazioni sul server NetWorker.
       
      A. Aprire un prompt dei comandi con privilegi di amministratore/root.
      B. Utilizzando il DN del gruppo AD, si concede l'autorizzazione FULL_CONTROL per eseguire: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Esempio:
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Informazioni aggiuntive

      Per ulteriori informazioni, consultare la Guida alla configurazione della sicurezza di NetWorker disponibile all'indirizzo: https://www.dell.com/support/home/product-support/product/networker/docs

      Valori di configurazione:

      Server Type Selezionare LDAP se il server di autenticazione è un server LDAP Linux/UNIX, Active Directory se si utilizza un server Microsoft Active Directory.
      Authority Name Fornire un nome per questa autorità di autenticazione esterna. È possibile scegliere un nome qualsiasi, in quanto serve solo per distinguere l'autorità dalle altre quando ne sono configurate più di una.
      Provider Server Name Questo campo deve contenere il nome di dominio completo (FQDN) del proprio server AD o LDAP.
      Tenant I tenant possono essere utilizzati negli ambienti in cui è possibile utilizzare più di un metodo di autenticazione o quando è necessario configurare più autorità. Per impostazione predefinita, è selezionato il tenant "default". L'utilizzo di tenant modifica il metodo di accesso. Accedere a NMC con "domain\user" per il tenant predefinito o "tenant\domain\user" per altri tenant.
      Domain Specificare il nome di dominio completo (escluso un nome host). In genere si tratta del DN di base, costituito dai valori DC (Domain Component) del proprio dominio. 
      Port Number Per l'integrazione LDAP e AD, utilizzare la porta 389. Per LDAP su SSL, utilizzare la porta 636.
      Queste sono porte non predefinite di NetWorker sul server AD/LDAP.
      User DN Specificare il nome distinto (DN) di un account utente con accesso completo in lettura alla directory LDAP o AD.
      Specificare il DN relativo dell'account utente o il DN completo se si sostituisce il valore impostato nel campo Domain.
      User DN Password Specificare la password dell'account utente specificato.
      Group Object Class Classe di oggetti che identifica i gruppi nella gerarchia LDAP o AD.
      • Per LDAP, utilizzare groupOfUniqueNames oppure groupOfNames 
        NOTA: esistono altre classi di oggetti gruppo oltre a groupOfUniqueNames e groupOfNames.  Utilizzare qualsiasi classe di oggetti configurata nel server LDAP.
      • Per AD, utilizzare group
      Group Search Path Questo campo può essere lasciato vuoto. In tal caso authc è in grado di eseguire query nel dominio completo. È necessario concedere le autorizzazioni per l'accesso al server NMC/NetWorker prima che questi utenti/gruppi possano accedere a NMC e gestire il server NetWorker. Specificare il percorso relativo al dominio anziché il DN completo.
      Group Name Attribute Attributo che identifica il nome del gruppo. Esempio: cn
      Group Member Attribute Appartenenza dell'utente al gruppo all'interno di un gruppo:
      • Per LDAP:
        • Quando Group Object Class è groupOfNames, l'attributo è comunemente member.
        • Quando Group Object Class è groupOfUniqueNames, l'attributo è comunemente uniquemember.
      •  Per AD, il valore è comunemente member.
      User Object Class Classe di oggetti che identifica gli utenti nella gerarchia LDAP o AD,
      Esempio: inetOrgPerson oppure user
      User Search Path Come Group Search Path, questo campo può essere lasciato vuoto. In tal caso, AUTHC è in grado di eseguire query sul dominio completo. Specificare il percorso relativo al dominio anziché il DN completo.
      User ID Attribute ID utente associato all'oggetto utente nella gerarchia LDAP o AD.
      • Per LDAP, questo attributo è comunemente uid.
      • Per AD, questo attributo è comunemente sAMAccountName.

      Altri articoli pertinenti:

      Prodotti interessati

      NetWorker

      Prodotti

      NetWorker Family, NetWorker Management Console
      Proprietà dell'articolo
      Numero articolo: 000156132
      Tipo di articolo: How To
      Ultima modifica: 25 mar 2026
      Versione:  18
      Trova risposta alle tue domande dagli altri utenti Dell
      Support Services
      Verifica che il dispositivo sia coperto dai Servizi di supporto.