NetWorker: LDAPS-authenticatie configureren

Samenvatting: Overzicht van het configureren van AD of Secure Lightweight Directory Access Protocol (LDAPS) met NetWorker met behulp van de wizard externe autoriteit van NMC. Deze KB kan ook worden gebruikt voor instructies voor het bijwerken van een bestaande configuratie van een externe instantie. ...

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Instructies

Dit artikel kan worden onderverdeeld in de volgende secties. Neem elk gedeelte zorgvuldig door voordat u verder gaat:

Vereisten: 

  • Bepaal welke host de authc Server. Dit is handig in grotere NetWorker-datazones. In kleinere datazones met één NetWorker-server is de NetWorker-server de verificatieserver. 
  • Bepaal welke Java Runtime Environment wordt gebruikt voor de verificatieservice.
  • Stel opdrachtregelvariabelen in om het importeren van de CA-certificaten die worden gebruikt voor SSL met externe NetWorker-authenticatie te vergemakkelijken.

SSL instellen:

  • Het verzamelen van de certificaten die nodig zijn voor SSL-communicatie met de externe authenticatieserver.
  • Importeer de certificaten die worden gebruikt voor LDAPS-authenticatie in de Authentication Services runtime-omgeving cacerts Sleutelbewaarplaats.

De externe autoriteitsbron configureren:

  • Maak de externe autoriteitsresource in de verificatieservice.
  • Bepaal externe gebruikers of groepen die worden gebruikt voor NetWorker.
  • Bepaal welke externe gebruikers of groepen toegang hebben tot de NetWorker Management Console (NMC).
  • Definieer de NetWorker-servermachtigingen die externe gebruikers en groepen hebben.
  • (Optioneel) Configureer FULL_CONTROL beveiligingsmachtigingen voor een externe gebruiker of groep.

Vereisten:

Als u LDAPS wilt gebruiken, moet u het CA-certificaat (of de certificaatketen) van de LDAPS-server importeren in de Java cacerts keystore van de NetWorker-authenticatieserver.

  1. Bepaal welke host de NetWorker Authentication-server is. Dit kan worden gevalideerd in het gstd.conf-bestand van de NetWorker Management Console (NMC)-server:
Linux: /opt/lgtonmc/etc/gstd.conf
Windows: C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
 
OPMERKING: De gstd.conf Bestand bevat een tekenreeks authsvc_hostname Hiermee wordt de verificatieserver gedefinieerd die wordt gebruikt voor het verwerken van aanmeldingsverzoeken voor de NetWorker Management Console (NMC). Zie voor meer informatie: NetWorker: Hoe te identificeren welke server de authenticatieserver is die wordt gebruikt door NMC en NWUI
  1. Identificeer op de NetWorker-verificatieserver de gebruikte Java-instantie.
Windows:
A. Zoek Info in de zoekbalk van Windows.
B. Klik in Info op Geavanceerde systeeminstellingen.
C. Klik in Systeemeigenschappen op Omgevingsvariabelen.
D. De NSR_JAVA_HOME variabele definieert het pad van de Java Runtime Environment die door NetWorker wordt gebruikt authc:

NSR_JAVA_HOME

    1. E. Stel vanuit een beheerdersopdrachtprompt opdrachtregelvariabelen in die het Java-installatiepad specificeren dat in de bovenstaande stap is bepaald:
set JAVA="Path\to\java"
Voorbeeld:
 Voorbeeldinstelling JAVA variabel Windows  
Vergemakkelijkt java keytool opdrachten in SSL instellen en zorgt voor de juiste cacerts bestand importeert het CA-certificaat. Deze variabele wordt verwijderd zodra de opdrachtregelsessie is gesloten en heeft geen invloed op andere NetWorker-bewerkingen.

Linux:

    A. Controleer de /nsr/authc/conf/installrc bestand om te zien welke Java-locatie is gebruikt bij het configureren van de authenticatieservice:

    sudo cat /nsr/authc/conf/installrc
    Voorbeeld:
    [root@nsr ~]# cat /nsr/authc/conf/installrc
JAVA_HOME=/opt/nre/java/latest
    OPMERKING: Deze variabele is alleen van toepassing op NetWorker-processen. Het is mogelijk dat echo $JAVA_HOME retourneert een ander pad; bijvoorbeeld als ook Oracle Java Runtime Environment (JRE) is geïnstalleerd. In de volgende stap is het belangrijk om de $JAVA_HOME pad zoals gedefinieerd in NetWorker's /nsr/authc/conf/installrc Bestand.

    B. Stel opdrachtregelvariabelen in die het Java-installatiepad specificeren dat in de bovenstaande stap is bepaald.

    JAVA=/path/to/java
    Voorbeeld:
    instelling java variabele Linux 
    Vergemakkelijkt java keytool opdrachten in SSL instellen en zorgt voor de juiste cacerts bestand importeert het CA-certificaat. Deze variabele wordt verwijderd zodra de opdrachtregelsessie is gesloten en heeft geen invloed op andere NetWorker-bewerkingen.

    SSL instellen

    Als u LDAPS wilt gebruiken, moet u het CA-certificaat (of certificaatketen) van de LDAPS-server importeren in de JAVA Trust Keystore. Dit kan met de volgende procedure:

    Haal het basiscertificaat (en de keten, indien geconfigureerd) op van de verificatieserver.

    Linux:

    1. Open een opdrachtprompt met verhoogde bevoegdheid op de NetWorker Authentication (AUTHC)-server.
    2. Gebruik de OpenSSL-tool om een kopie van het CA-certificaat van de LDAPS-server te verkrijgen.
    openssl s_client -showcerts -connect LDAPS_SERVER:636 2>/dev/null </dev/null
    • Linux wordt meestal geleverd met openssl geïnstalleerd. Als er Linux servers in de omgeving aanwezig zijn, kunt u openssl om de certificaatbestanden op te halen. Deze kunnen worden gekopieerd naar en gebruikt op de Windows-bestanden authc Server.
    • Als u OpenSSL niet hebt en het niet kan worden geïnstalleerd, laat uw AD-beheerder dan een of meer certificaten verstrekken door ze te exporteren als Base-64-gecodeerd x.509-formaat.
    • Vervangen LDAPS_SERVER met de hostnaam of het IP-adres van uw LDAPS-server.
    1. De bovenstaande opdracht voert het CA-certificaat of een keten van certificaten uit in de PEM-indeling (Privacy Enhanced Mail), bijvoorbeeld:
    -----BEGIN CERTIFICATE-----
MIIGQDCCBSigAwIBAgITbgAAAAiwkngyAQWDwwACAAAACDANBgkqhkiG9w0BAQsF
...REMOVED FOR BREVITY...
m4mGyefXz4TBTwD06opJf4NQIDo=
-----END CERTIFICATE-----
    OPMERKING: Als er sprake is van een keten van certificaten, is het laatste certificaat het CA-certificaat. U moet elk certificaat in de keten importeren in volgorde (van boven naar beneden) die eindigt met het CA-certificaat.
    1. Kopieer het certificaat vanaf ---BEGIN CERTIFICATE--- en eindigend met ---END CERTIFICATE--- en plak het in een nieuw bestand. Als er een keten van certificaten is, moet u dit met elk certificaat doen.
    2. Ga naar Certificaten importeren.

    Windows:

    In Windows is OpenSSL standaard niet geïnstalleerd. Als het op uw systeem is geïnstalleerd, kunt u dezelfde instructies volgen als in het bovenstaande Linux-gedeelte . Als het niet is geïnstalleerd, kunt u het installeren vanaf een platform van derden of de volgende stappen gebruiken om het certificaat te verzamelen zonder OpenSSL.

    1. Open een PowerShell-prompt met verhoogde bevoegdheid op de NetWorker Authentication (AUTHC)-server.
    2. Voer het volgende script uit en vervang EXTERNAL_AUTH_SERVER_ADDRESS met uw LDAP- of Active Directory (AD)-hostnaam of IP-adres:
    $server = "EXTERNAL_AUTH_SERVER_ADDRESS"
$port   = 636

$tcp = New-Object System.Net.Sockets.TcpClient
$tcp.Connect($server, $port)

$ssl = New-Object System.Net.Security.SslStream(
    $tcp.GetStream(),
    $false,
    { param($sender,$cert,$chain,$errors) $true }
)

try {
    $ssl.AuthenticateAsClient($server)

    "=== Protocol ==="
    $ssl.SslProtocol
    "=== Cipher ==="
    "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
    ""
    "=== Server Certificate ==="

    $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)

    "Subject  : $($remoteCert.Subject)"
    "Issuer   : $($remoteCert.Issuer)"
    "NotBefore: $($remoteCert.NotBefore)"
    "NotAfter : $($remoteCert.NotAfter)"
    ""

    $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
    "-----BEGIN CERTIFICATE-----"
    $b64
    "-----END CERTIFICATE-----"
}
finally {
    $ssl.Dispose()
    $tcp.Dispose()
}
    WAARSCHUWING: Dit scriptblok is bijvoorbeeld alleen voor gebruik. Dit kan in sommige omgevingen mislukken vanwege de specifieke Windows-versie of het beveiligingshandhavingsbeleid op het systeem. Als het niet mogelijk is om de certificaten rechtstreeks van de NetWorker-server op te halen, moet u overleggen met uw domeinbeheerder om de vereiste basis-CA en eventuele tussenliggende certificaten (indien geconfigureerd) te verkrijgen. U kunt ook een Linux-server gebruiken om de certificaten te verzamelen (zoals weergegeven in de bovenstaande Linux-instructies).
    Voorbeeld:
    PS C:\Users\administrator.AMER> $server = "dc.amer.lan"
PS C:\Users\administrator.AMER> $port   = 636
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $tcp = New-Object System.Net.Sockets.TcpClient
PS C:\Users\administrator.AMER> $tcp.Connect($server, $port)
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> $ssl = New-Object System.Net.Security.SslStream(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender,$cert,$chain,$errors) $true }
>> )
PS C:\Users\administrator.AMER>
PS C:\Users\administrator.AMER> try {
>>     $ssl.AuthenticateAsClient($server)
>>
>>     "=== Protocol ==="
>>     $ssl.SslProtocol
>>     "=== Cipher ==="
>>     "$($ssl.CipherAlgorithm) ($($ssl.CipherStrength)-bit)"
>>     ""
>>     "=== Server Certificate (exactly what the DC sends) ==="
>>
>>     $remoteCert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
>>
>>     "Subject  : $($remoteCert.Subject)"
>>     "Issuer   : $($remoteCert.Issuer)"
>>     "NotBefore: $($remoteCert.NotBefore)"
>>     "NotAfter : $($remoteCert.NotAfter)"
>>     ""
>>
>>     $b64 = [Convert]::ToBase64String($remoteCert.RawData, [Base64FormattingOptions]::InsertLineBreaks)
>>     "-----BEGIN CERTIFICATE-----"
>>     $b64
>>     "-----END CERTIFICATE-----"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Protocol ===
Tls13
=== Cipher ===
Aes256 (256-bit)

=== Server Certificate ===
Subject  : CN=DC.amer.lan
Issuer   : CN=amer-DC-CA, DC=amer, DC=lan
NotBefore: 11/29/2025 01:17:22
NotAfter : 11/29/2026 01:17:22

-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgITNAAAAAT93FoJVZwLkQAAAAAABDANBgkqhkiG9w0BAQsFADBAMRMwEQYK
...REMOVED FOR BREVITY...
c1HhZw24yOwFSOtTQg==
-----END CERTIFICATE-----
    OPMERKING: Het script retourneert één certificaat als er alleen een basis-CA is. Aanvullende certificaten worden weergegeven als tussenliggende certificaten zijn geconfigureerd en door de server worden blootgesteld.
    1. Kopieer het certificaat vanaf ---BEGIN CERTIFICATE--- en eindigend met ---END CERTIFICATE--- en plak het in een nieuw bestand. Als er een keten van certificaten is, moet u dit met elk certificaat doen.
    2. Ga naar Certificaten importeren.

    Certificaten importeren:

    OPMERKING: Het onderstaande proces maakt gebruik van opdrachtregelvariabelen die zijn ingesteld volgens de sectie Vereisten . Als de opdrachtregelvariabelen niet zijn ingesteld, geeft u in plaats daarvan het volledige Java-pad op.
    1. Open een adminative/root-opdrachtprompt.
    2. Geef een lijst met huidige vertrouwde certificaten weer in het vertrouwensarchief.
    • Voor NetWorker 19.12.x (JRE 8.x) en eerder:
    Windows:  
    %JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -list -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Voor NetWorker 19.13 (JDK 17.x) en hoger:
    Windows: 
    %JAVA%\bin\keytool -list -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -list -cacerts -storepass changeit
    3. Controleer de lijst op een alias die overeenkomt met uw LDAPS-server (deze bestaat mogelijk niet). U kunt het besturingssysteem gebruiken grep of findstr opdrachten met de bovenstaande opdracht om de zoekopdracht te verfijnen. Als er een verouderd of bestaand CA-certificaat van uw LDAPS-server is, verwijdert u dit met de volgende opdracht:
    • Voor NetWorker 19.12.x (JRE 8.x) en eerder:
    Windows:  
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit
    Linux:
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit
    • Voor NetWorker 19.13 (JDK 17.x) en hoger:
    Windows: 
    %JAVA%\bin\keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    Linux:  
    $JAVA/bin/keytool -delete -alias ALIAS_NAME -cacerts -storepass changeit
    OPMERKING: Vervang ALIAS_NAME door de aliasnaam van de oude of verlopen certificaten uit stap 2.
    7. Importeer het certificaat of de certificaatbestanden die zijn gemaakt in de JAVA Trust Keystore:
      • Voor NetWorker 19.12.x (JRE 8.x) en eerder:
      Windows:  
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -keystore %JAVA%\lib\security\cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:
      $JAVA/bin/keytool -import -alias ALIAS_NAME -keystore $JAVA/lib/security/cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Voor NetWorker 19.13 (JDK 17.x) en hoger:
      Windows: 
      %JAVA%\bin\keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file \PATH_TO\CERT_FILE
      Linux:  
      $JAVA/bin/keytool -import -alias ALIAS_NAME -cacerts -storepass changeit -file /PATH_TO/CERT_FILE
      • Vervang ALIAS_NAME door een alias voor het geïmporteerde certificaat (bijvoorbeeld RCA (basis-CA)). Bij het importeren van meerdere certificaten voor een certificaatketen moet elk certificaat een andere aliasnaam hebben en afzonderlijk worden geïmporteerd. De certificaatketen moet ook in volgorde worden geïmporteerd vanaf stap 5 (van boven naar beneden).
      • Vervang PATH_TO\CERT_FILE door de locatie van het certificaatbestand dat u in stap 6 hebt gemaakt.
      8. U wordt gevraagd om het certificaat te importeren, type yes en druk op Enter. 
      C:\Users\administrator>%JAVA%\bin\keytool -import -alias RCA -keystore %JAVA%\lib\security\cacerts -storepass changeit -file C:\root-ca.cer
Owner: CN=networker-DC-CA, DC=networker, DC=lan
Issuer: CN=networker-DC-CA, DC=networker, DC=lan
Serial number: 183db0ae21d3108244254c8aad129ecd
...
...
...

Trust this certificate? [no]:  yes
Certificate was added to keystore
      9. Controleer of het certificaat wordt weergegeven in de keystore (dezelfde opdrachten als stap 2).
      OPMERKING: Pijp (|) het besturingssysteem grep of findstr commando naar het bovenstaande toe om het resultaat te beperken. 
      C:\Users\administrator>%JAVA%\bin\keytool -list -keystore %JAVA%\lib\security\cacerts -storepass changeit | findstr RCA
RCA, Jan 15, 2025, trustedCertEntry,
      10. Start de NetWorker-serverservices opnieuw op. 
      Windows:  
      net stop nsrd
net start nsrd
      Linux:  
      nsr_shutdown
service networker start
      OPMERKING: Start de NetWorker-serverservices opnieuw om ervoor te zorgen dat AUTHC het cacerts-bestand leest en geïmporteerde certificaten detecteert voor SSL-communicatie met de LDAP-server.
       

      De externe autoriteitsbron configureren

      Dit KB-artikel is gericht op het gebruik van de NetWorker Management Console (NMC) voor het configureren van LDAP via SSL. Bijhet configureren van AD via SSL is het raadzaam om de NetWorker Web User Interface (NWUI) te gebruiken. Dit proces wordt beschreven in:

      Als een van de artikelen wordt gevolgd, kunt u naar het gedeelte gaan waar de externe autoriteitsbron wordt gemaakt, het is niet nodig om de certificaatimportprocedure te herhalen.

      OPMERKING: Deze KB kan worden gevolgd bij het configureren van AD over SSL; Er zijn echter aanvullende stappen vereist. Deze stappen worden hieronder beschreven.

      1. Meld u aan bij de NetWorker Management Console (NMC) met uw NetWorker Administrator-account. Selecteer Setup-> Users and Roles -> External Authority.
      2. Maak of wijzig uw bestaande configuratie van externe instantie, selecteer LDAP via SSL in de vervolgkeuzelijst Servertype. Hierdoor wordt de poort automatisch gewijzigd van 389 naar 636:
      Voorbeeld van het toevoegen van AD via SSL vanuit NMC
      OPMERKING: Vouw het veld Geavanceerde opties weergeven uit en zorg ervoor dat de juiste waarden zijn ingesteld voor uw verificatieserver. Zie het veld Aanvullende informatie van deze KB voor een tabel waarin de velden en waarden worden uitgelegd.

      Voor Active Directory via SSL:

      WAARSCHUWING: Met behulp van de NMC "LDAP over SSL" -instelling met Microsoft Active Directory, stelt u een interne configuratieparameter "is active directory" in op "false". Dit voorkomt succesvolle AD-authenticatie in NetWorker. De volgende stappen kunnen worden gebruikt om dit te corrigeren.

      A. Haal de details van de configuratie-id op:

      authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-all-configs
authc_config -u Administrator -p 'NetWorker_AdminPass' -e find-config -D config-id=CONFIG_ID#

      Voorbeeld:

      nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         AD

nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : false
Config Search Subtree        : true
      B. Gebruik de authc_config Opdracht om in te stellen is-active-directory=y: 
      authc_config -u Administrator -p 'NETWORKER_ADMIN_PASSWORD' -e update-config -D config-id=CONFIG_ID# -D config-server-address="ldaps://DOMAIN_SERVER:636/BASE_DN" -D config-user-dn="CONFIG_USER_DN" -D config-user-dn-password='CONFIG_USER_PASSWORD' -D config-active-directory=y
      OPMERKING: De benodigde waarden voor deze velden kunnen worden verkregen uit stap A.
       
      Voorbeeld:
      nve:~ # authc_config -u Administrator -p '!Password1' -e update-config -D config-id=1 -D config-server-address="ldaps://dc.networker.lan:636/dc=networker,dc=lan" -D config-user-dn="cn=nw authadmin,ou=dell,dc=networker,dc=lan" -D config-user-dn-password='PASSWORD' -D config-active-directory=y
Configuration AD is updated successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : AD
Config Domain                : networker.lan
Config Server Address        : ldaps://dc.networker.lan:636/dc=networker,dc=lan
Config User DN               : cn=nw authadmin,ou=dell,dc=networker,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

      De externe autoriteitsbron is nu correct geconfigureerd voor Microsoft Active Directory.

       
      3. U kunt gebruik maken van de authc_mgmt opdracht op uw NetWorker-server om te bevestigen dat de AD/LDAP-groepen/gebruikers zichtbaar zijn: 
      authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
      Voorbeeld:
      nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=networker.lan
The query returns 40 records.
User Name            Full Dn Name
...
...
bkupadmin            CN=Backup Administrator,OU=Support_Services,OU=DELL,dc=networker,dc=lan


nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=networker.lan
The query returns 71 records.
Group Name                              Full Dn Name
...
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan

nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=networker.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan
      OPMERKING: Op sommige systemen is de authc Opdrachten kunnen mislukken met de fout "Onjuist wachtwoord", zelfs wanneer het juiste wachtwoord is opgegeven. Dit komt doordat het wachtwoord is opgegeven als zichtbare tekst met de "-p" optie. Als u dit tegenkomt, verwijdert u "-p password" van de commando's. U wordt gevraagd om het verborgen wachtwoord in te voeren nadat u de opdracht hebt uitgevoerd.
       

      NMC configureren om externe authenticatie te accepteren:

      4. Wanneer u bent aangemeld bij NMC als het standaard NetWorker Administrator-account, opent u Setup-->Users and Roles-->NMC Roles. Open de eigenschappen van de rol Console Application Administrators en voer de DN ( Distinguished Name Deze hyperlink leidt u naar een website buiten Dell Technologies. ) van een AD/LDAP-groep in het veld External Roles in. Voor gebruikers die machtigingen op hetzelfde niveau nodig hebben als het standaard NetWorker Administrator-account, geeft u de AD/LDAP-groeps-DN op in de rol Console Security Administrators . AD-gebruikers of -groepen die geen beheerdersrechten voor de NMC Console nodig hebben, voegen hun volledige DN toe aan de externe rollen van de consolegebruiker.

      Voorbeeld van externe rollen ingesteld in NMC rollen 
      OPMERKING: Standaard is er al de DN van de LOKALE beheerdersgroep van de NetWorker-server. Verwijder deze niet.
       

      De machtigingen voor externe gebruikers van de NetWorker-server configureren:

      5. Verbind de NetWorker-server vanuit de NMC, open Server-->User Groups. Voer de DN-naam (Distinguished Name) van een AD/LDAP-groep in het veld Externe rollen van de roleigenschappen van Toepassingsbeheerders in. Voor gebruikers die machtigingen op hetzelfde niveau nodig hebben als het standaard NetWorker Administrator-account, moet u de AD/LDAP-groeps-DN opgeven in de rol Beveiligingsbeheerders.
      Configuring nsr user groups with external users or groups
      OPMERKING: Standaard is er al de DN van de LOKALE beheerdersgroep van de NetWorker-server. Verwijder deze niet.
       
      U kunt ook de nsraddadmin om dit te bereiken voor externe gebruikers/groepen die volledige NetWorker-beheerdersrechten moeten hebben: 
      nsraddadmin -e "USER/GROUP_DN"
      Voorbeeld: 
      nve:~ # nsraddadmin -e "CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Security Administrators' user group.
134749:nsraddadmin: 'CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan' added to the 'external roles' list of 'Application Administrators' user group.
      Toegang tot het NMC:
      U moet toegang hebben tot de NMC en NetWorker-server met de externe gebruikers die hiervoor toestemming hebben gekregen.
      Aanmelden als externe gebruiker
      Nadat u bent ingelogd, wordt de gebruiker in de rechterbovenhoek van de NMC weergegeven:
      NMC met AD-gebruiker

      Extra beveiligingsmachtigingen

      6. (OPTIONEEL) Als u wilt dat een AD/LDAP-groep externe instanties kan beheren, moet u het volgende doen op de NetWorker-server.
       
      A. Open een adminative/root-opdrachtprompt.
      B. Gebruik de AD-groeps-DN die u FULL_CONTROL toestemming wilt geven om het volgende uit te voeren: 
      authc_config -u Administrator -p 'NetWorker_Admin_Pass' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
      Voorbeeld:
      nve:~ # authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan"
Permission FULL_CONTROL is created successfully.
nve:~ #
nve:~ # authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=DELL,dc=networ...

      Extra informatie

      Raadpleeg voor meer informatie de NetWorker Security Configuration Guide die beschikbaar is via: https://www.dell.com/support/home/product-support/product/networker/docs

      Configuration values:

      Servertype Selecteer LDAP als de verificatieserver een Linux/UNIX LDAP-server is, Active Directory als u een Microsoft Active Directory-server gebruikt.
      Naam van autoriteit Geef een naam op voor deze externe verificatieautoriteit. Deze naam kan zijn wat u maar wilt, het is alleen om onderscheid te maken tussen andere autoriteiten wanneer er meerdere zijn geconfigureerd.
      Naam providerserver Dit veld moet de FQDN (Fully Qualified Domain Name) van uw AD- of LDAP-server bevatten.
      Huurder Tenants kunnen worden gebruikt in omgevingen waar meer dan één verificatiemethode kan worden gebruikt of wanneer meerdere bevoegdheden moeten worden geconfigureerd. Standaard is de "default" tenant geselecteerd. Het gebruik van tenants verandert uw inlogmethode. Log in op de NMC met 'domain\user' voor de standaard tenant, of 'tenant\domain\user' voor andere tenants.
      Domein Geef uw volledige domeinnaam op (exclusief een hostnaam). Meestal is dit uw basis-DN, die bestaat uit uw Domain Component (DC)-waarden van uw domein. 
      Poortnummer Gebruik poort 389 voor LDAP- en AD-integratie. Voor LDAP via SSL gebruikt u poort 636.
      Deze poorten zijn niet-NetWorker-standaardpoorten op de AD/LDAP-server.
      Gebruiker-DN Geef de DN (Distinguished Name) op van een gebruikersaccount dat volledige leestoegang heeft tot de LDAP- of AD-directory.
      Geef de relatieve DN van het gebruikersaccount op, of de volledige DN als u de waarde in het veld Domein overschrijft.
      DN-wachtwoord voor gebruiker Geef het wachtwoord van het opgegeven gebruikersaccount op.
      Groepsobjectklasse De objectklasse die groepen in de LDAP- of AD-hiërarchie identificeert.
      • Gebruik voor LDAP groupOfUniqueNames of groupOfNames 
        OPMERKING: Naast deze groep zijn er nog andere groepsobjectklassen groupOfUniqueNames als groupOfNames.  Gebruik de objectklasse die is geconfigureerd in de LDAP-server.
      • Voor AD gebruikt u group
      Zoekpad voor groepen Dit veld kan in dat geval leeg worden gelaten authc is in staat om het volledige domein te doorzoeken. Er moeten machtigingen worden verleend voor NMC/NetWorker-servertoegang voordat deze gebruikers/groepen zich kunnen aanmelden bij NMC en de NetWorker-server kunnen beheren. Geef het relatieve pad naar het domein op in plaats van de volledige DN.
      Kenmerk groepsnaam Het kenmerk dat de groepsnaam identificeert. Bijvoorbeeld, cn
      Attribuut groepslid Het groepslidmaatschap van de gebruiker binnen een groep
      • Voor LDAP:
        • Wanneer de groepsobjectklasse groupOfNames, wordt het kenmerk vaak member.
        • Wanneer de groepsobjectklasse groupOfUniqueNames, wordt het kenmerk vaak uniquemember.
      •  Voor AD is de waarde gewoonlijk member.
      Gebruikersobjectklasse De objectklasse die de gebruikers in de LDAP- of AD-hiërarchie identificeert.
      Bijvoorbeeld, inetOrgPerson of user
      Zoekpad voor gebruiker Net als bij Group Search Path kan dit veld leeg worden gelaten, in welk geval AUTHC in staat is om het volledige domein op te vragen. Geef het relatieve pad naar het domein op in plaats van de volledige DN.
      Kenmerk gebruikers-ID De gebruikers-ID die is gekoppeld aan het gebruikersobject in de LDAP- of AD-hiërarchie.
      • Voor LDAP is dit kenmerk vaak uid.
      • Voor AD is dit kenmerk vaak sAMAccountName.

      Andere relevante artikelen:

      Getroffen producten

      NetWorker

      Producten

      NetWorker Family, NetWorker Management Console
      Artikeleigenschappen
      Artikelnummer: 000156132
      Artikeltype: How To
      Laatst aangepast: 25 mrt. 2026
      Versie:  18
      Vind antwoorden op uw vragen via andere Dell gebruikers
      Support Services
      Controleer of uw apparaat wordt gedekt door Support Services.