NetWorker: Konfigurowanie uwierzytelniania AD/LDAP

Samenvatting: Ten artykuł bazy wiedzy zawiera omówienie sposobu dodawania instytucji zewnętrznej do NetWorker za pomocą kreatora instytucji zewnętrznej na konsoli NetWorker Management Console (NMC). Uwierzytelnianie za pomocą usługi Active Directory (AD) lub protokołu LDAP w systemie Linux może być używane razem z domyślnym kontem administratora NetWorker lub innymi lokalnymi kontami NMC. ...

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Instructies

UWAGA: w przypadku integracji AD przez SSL instytucję zewnętrzną należy skonfigurować za pomocą sieciowego interfejsu użytkownika NetWorker. Zobacz NetWorker: Jak skonfigurować „AD przez SSL” (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI).

 

Zasoby instytucji zewnętrznych można tworzyć i zarządzać nimi za pomocą konsoli NetWorker Management Console (NMC), sieciowego interfejsu użytkownika NetWorker (NWUI) lub skryptów AUTHC:

  • Konsola NetWorker Management Console (NMC): Zaloguj się do NMC przy użyciu konta administratora NetWorker. Wybierz kolejno Setup->Users and Roles->External Authorities.
  • Sieciowy interfejs użytkownika NetWorker (NMC): Zaloguj się do NWUI przy użyciu konta administratora NetWorker. Wybierz kolejno Authentication Server->External Authorities.
UWAGA: W tym artykule bazy wiedzy opisano sposób dodawania AD/LDAP za pomocą NMC. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z interfejsu NWUI, zobacz: NetWorker: Jak skonfigurować AD lub LDAP z poziomu sieciowego interfejsu użytkownika NetWorker.

Wymagania wstępne:

Uwierzytelnianie zewnętrzne (AD lub LDAP) jest zintegrowane z bazą danych serwera uwierzytelniania NetWorker (AUTHC). Nie jest bezpośrednio częścią baz danych NMC lub NWUI. W środowiskach z jednym serwerem NetWorker jest on również hostem AUTHC. W środowiskach z wieloma serwerami NetWorker, zarządzanych za pośrednictwem jednej konsoli NMC, tylko jeden z serwerów NetWorker jest serwerem AUTHC. Określenie hosta AUTHC jest wymagane na potrzeby poleceń authc_mgmt używanych w kolejnych krokach opisanych w tym artykule. Serwer AUTHC jest zidentyfikowany w pliku gstd.conf serwera NetWorker Management Console (NMC):

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (domyślnie): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    UWAGA: Pakiet gstd.conf zawiera ciąg znaków, authsvc_hostname który określa serwer uwierzytelniania używany do przetwarzania żądań logowania do konsoli NetWorker Management Console (NMC).

Process:

Zaloguj się do konsoli NetWorker Management Console (NMC) za pomocą domyślnego konta administratora NetWorker. Na karcie Setup --> User and Roles dostępna jest nowa opcja External Authority.

Okno konfiguracji konsoli NetWorker Management Console dla repozytorium instytucji zewnętrznych
 
  1. Aby dodać nową instytucję, kliknij prawym przyciskiem myszy w oknie External Authority i wybierz opcję New.
  2. W polu External Authentication Authority należy wypełnić wymagane pola informacjami AD/LDAP.
  3. Zaznacz pole „Show Advanced Options”, aby wyświetlić wszystkie pola.
Server Type Wybierz opcję LDAP, jeśli serwerem uwierzytelniania jest serwer LDAP systemu Linux/UNIX, lub Active Directory, jeśli używany jest serwer Microsoft Active Directory.
Authority Name Podaj nazwę tego zewnętrznego urzędu uwierzytelniania. Ta nazwa może być dowolna, bo służy tylko do rozróżniania urzędów, gdy skonfigurowano ich wiele.
Provider Server Name To pole powinno zawierać w pełni kwalifikowaną nazwę domeny (FQDN) serwera AD lub LDAP.
Tenant Dzierżawy mogą być używane w środowiskach, w których można użyć więcej niż jednej metody uwierzytelniania lub gdy należy skonfigurować wiele instytucji. Domyślnie wybrana jest dzierżawa „default”. Użycie dzierżaw zmienia metodę logowania. Zaloguj się do NMC przy użyciu formatu „domena\użytkownik” w przypadku dzierżawy domyślnej lub „dzierżawa\domena\użytkownik” w przypadku innych dzierżaw.
Domena Podaj pełną nazwę domeny (bez nazwy hosta). Zazwyczaj jest to podstawowa nazwa wyróżniająca (DN), która składa się z wartości składników domeny (DC). 
Numer portu W przypadku integracji LDAP i AD należy użyć portu 389. W przypadku protokołu LDAP przez SSL użyj portu 636. Porty te są domyślnymi portami serwera AD/LDAP innymi niż NetWorker.
UWAGA: Zmiana portu na 636 nie wystarczy do skonfigurowania protokołu SSL. Certyfikat instytucji certyfikującej (i łańcuch certyfikatów, jeśli jest używany) musi zostać zaimportowany z serwera domeny do serwera AUTHC. Zobacz NetWorker: Jak skonfigurować „AD przez SSL” (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI).
User DN Określ nazwę wyróżniającą Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.  (DN) konta użytkownika, które ma pełny dostęp do odczytu do katalogu LDAP lub AD.
Określ względną nazwę wyróżniającą konta użytkownika lub pełną nazwę wyróżniającą, jeśli zastępujesz wartość ustawioną w polu Domain.
User DN Password Podaj hasło określonego konta użytkownika.
Group Object Class Klasa obiektów identyfikująca grupy w hierarchii LDAP lub AD.
  • W przypadku protokołu LDAP użyj opcji groupOfUniqueNames lub groupOfNames 
    • UWAGA: Istnieją inne klasy obiektów grup oprócz groupOfUniqueNames i groupOfNames.  Użyj dowolnej klasy obiektów skonfigurowanej na serwerze LDAP.
  • W przypadku protokołu AD użyj opcji group
Group Search Path To pole może pozostać puste, a wówczas AUTHC może wysyłać zapytania dotyczące całej domeny. Aby ci użytkownicy/grupy mogli logować się do NMC i zarządzać serwerem NetWorker, należy przyznać uprawnienia dostępu do serwera NMC/NetWorker. Określ ścieżkę względną do domeny, a nie pełną nazwę wyróżniającą.
Group Name Attribute Atrybut identyfikujący nazwę grupy, np. cn.
Group Member Attribute Określa przynależność użytkownika do grupy.
  • W przypadku LDAP:
    • Kiedy Group Object Class ma wartość groupOfNames, atrybutem jest zwykle member.
    • Kiedy Group Object Class ma wartość groupOfUniqueNames, atrybutem jest zwykle uniquemember.
  •  W przypadku usługi AD wartością jest zwykle member.
User Object Class Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD.
Na przykład: inetOrgPerson lub user
User Search Path Podobnie jak w przypadku Group Search Path, to pole może pozostać puste, a wówczas AUTHC może wysyłać zapytania dotyczące całej domeny. Określ ścieżkę względną do domeny, a nie pełną nazwę wyróżniającą.
User ID Attribute Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD.
  • W przypadku protokołu LDAP atrybutem tym jest zazwyczaj uid.
  • W przypadku protokołu AD atrybutem tym jest zazwyczaj sAMAccountName.
Na przykład integracja z usługą Active Directory:
Przykład dodawania uwierzytelniania za pomocą usługi Active Directory do NetWorker
UWAGA: Skontaktuj się z administratorem AD/LDAP, aby upewnić się, które pola właściwe dla AD/LDAP są potrzebne w Twoim środowisku.
 
  1. Po wypełnieniu wszystkich pól kliknij przycisk OK, aby dodać nową instytucję.
  2. Możesz użyć polecenia authc_mgmt na serwerze NetWorker AUTHC, aby potwierdzić widoczność grup/użytkowników AD/LDAP:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Oto przykład: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
UWAGA: w niektórych systemach polecenia AUTHC mogą zakończyć się niepowodzeniem z błędem „incorrect password”, nawet jeśli podano prawidłowe hasło. Dzieje się tak ze względu na podawanie hasła w formie widocznego tekstu w opcji „-p”. W przypadku wystąpienia tego błędu usuń „-p password„ z poleceń. Po uruchomieniu polecenia zostanie wyświetlony monit o wprowadzenie ukrytego hasła.
 
  1.  Po zalogowaniu się do NMC przy użyciu domyślnego konta administratora NetWorker otwórz Setup-->Users and Roles-->NMC Roles. Otwórz właściwości roli „Console Application Administrators” i wprowadź nazwę wyróżniającą Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.  (DN) grupy AD/LDAP (uzyskaną w kroku 5) w polu External roles. W przypadku użytkowników, którzy wymagają domyślnych uprawnień administratora NetWorker, określ nazwę wyróżniającą grupy AD/LDAP w roli „Console Security Administrators”. W przypadku użytkowników/grup, które nie potrzebują uprawnień administratora do konsoli NMC, dodaj ich pełną nazwę wyróżniającą w rolach zewnętrznych „Console User
UWAGA: Domyślnie istnieje już nazwa wyróżniająca grupy LOCAL Administrators serwera NetWorker i NIE NALEŻY jej usuwać.
  1. Uprawnienia dostępu należy również zastosować dla każdego serwera NetWorker skonfigurowanego w NMC. Można tego dokonać na jeden z dwóch sposobów:
Opcja 1)
Połącz się z serwerem NetWorker z NMC, wybierz kolejno Server-->User Groups. Otwórz właściwości roli „Application Administrators” i wprowadź nazwę wyróżniającą Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. (DN) grupy AD/LDAP (uzyskaną w kroku 5) w polu External roles. W przypadku użytkowników, którzy wymagają tego samego poziomu uprawnień co domyślne konto administratora NetWorker, musisz określić nazwę wyróżniającą grupy AD/LDAP w roli Security Administrators.

UWAGA: Domyślnie istnieje już nazwa wyróżniająca grupy LOCAL Administrators serwera NetWorker i NIE NALEŻY jej usuwać.
 
Opcja 2)
Użytkownikom/grupom AD, którym chcesz przyznać uprawnienia administratora do nsraddadmin — polecenie można uruchomić z wiersza poleceń administratora lub użytkownika root na serwerze NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Przykład:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Zaloguj się do NMC za pomocą konta AD/LDAP (np. domena\użytkownik):
Przykład logowania się jako użytkownik zewnętrzny
Jeśli użyto dzierżawy innej niż domyślna, należy ją określić przed domeną, np. dzierżawa\domena\użytkownik.
Konto, które jest używane, jest wyświetlane w prawym górnym rogu. Użytkownik może wykonywać działania w oparciu o role przypisane w NetWorker.
Przykład prezentacji użytkownika zewnętrznego po zalogowaniu się
  1. (OPCJONALNIE) Jeśli chcesz, aby grupa AD/LDAP mogła zarządzać instytucjami zewnętrznymi, musisz wykonać poniższe czynności na serwerze NetWorker.
    1. Zaloguj się jako administrator/root i uruchom wiersz poleceń.
    2. Za pomocą nazwy wyróżniającej grupy AD (uzyskanej w kroku 5), której chcesz przyznać uprawnienie FULL_CONTROL do uruchamiania:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Na przykład 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Extra informatie

Getroffen producten

NetWorker

Producten

NetWorker Family
Artikeleigenschappen
Artikelnummer: 000156107
Artikeltype: How To
Laatst aangepast: 16 dec. 2025
Versie:  10
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.