Artikkelnummer: 000158322
NetWorker: Slik konfigurerer du LDAP/AD ved hjelp av authc_config skript
Sammendrag: Denne KB-en gir en grunnleggende oversikt over hvordan du legger til LDAP/AD-godkjenning ved hjelp av skriptmalen authc_config. Active Directory (AD) eller Linux LDAP-godkjenning kan brukes sammen med standard NetWorker Administrator-konto eller andre lokale NMC-kontoer (NetWorker Management Console). ...
Artikkelinnhold
Instruksjoner
Følgende prosess beskriver hvordan du bruker skript til å legge til AD- eller LDAP-godkjenning i NetWorker. Andre metoder er tilgjengelige i tilleggsinformasjonsdelen i denne kunnskapsbasen.
Du kan bruke skriptmalene som du finner under følgende baner på NetWorker-serveren:
Syntaks:
Når skriptet er fylt ut, kan du kjøre det fra kommandolinjen på NetWorker-serveren. Etter at skriptet er vellykket, kan du bekrefte at NetWorker-serveren kan godkjennes med AD ved å kjøre følgende kommando:
Du kan bruke skriptmalene som du finner under følgende baner på NetWorker-serveren:
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
MERK: Annonseskriptet brukes når en Windows AD-kontroller brukes til godkjenning, og ldap-skriptet er for linux/unix-godkjenning. Du må fjerne .template fra filnavnet før du kjører. Hvis disse skriptene ikke finnes, kan du opprette .sh (Linux) eller .bat (Windows) med følgende informasjon.
Syntaks:
call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
MERK: Alle verdier i skriptet inne <> må endres. Verdiene som ikke er inni <> , kan stå som de er.
| config-tenant-id | Leietakere kan brukes i miljøer der mer enn én godkjenningsmetode kan brukes og/eller når flere myndigheter må konfigureres. Du trenger ikke å opprette en leietaker hvis det bare brukes én AD/LDAP-server. Du kan bruke standard leietaker, config-tenant-id=1. Det er viktig å merke seg at bruken av leietakere endrer påloggingsmetoden. Når standardleietakeren brukes, kan du logge på NMC ved hjelp av «domene\bruker» hvis en annen leietaker enn standardleietaker brukes, må du angi «tenant-name\domain\user» når du logger på NMC. |
| config-active-directory | Hvis du bruker en Microsoft Active Directory-server (AD): y hvis du bruker en LDAP-server (f.eks. OpenLDAP): N Merk: Det finnes to forskjellige skriptmaler som «authc-create-ad-config» og «authc-create-ldap-config». Kontroller at du bruker riktig mal for godkjenningsplattformen som er i bruk. |
| config-name | Dette navnet er bare en identifikator for godkjenningskonfigurasjonen som legges til i NetWorker. |
| config-domene | Dette er domenenavnet som brukes til å logge på NetWorker. For eksempel kan «emclab.local» settes til «emclab». Dette kan angis for å justere etter hvordan du logger på arbeidsstasjonene og systemene som er integrert med AD/LDAP. |
| config-server-adresse | <protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol:
Vertsnavn/IP-adresse:
|
| config-user-dn | Angi det fullstendige unike navnet (DN) til en brukerkonto som har full lesetilgang til LDAP- eller AD-katalogen, f.eks. CN = Administrator, CN = Brukere, DC = min, DC = domene, DC = com. |
| config-user-dn-password | Angi passordet for kontoen som er angitt i config-user-dn. |
| config-user-search-path | Dette feltet kan stå tomt, og i så fall kan authc spørre hele domenet. Tillatelser må fortsatt gis for NMC/NetWorker-servertilgang før disse brukerne/gruppene kan logge på NMC og administrere NetWorker-serveren. Hvis en basis-DN ble angitt i config-server-adressen, angir du den relative banen (unntatt basis-DN) til domenet. |
| config-user-id-attr | Bruker-ID-en som er tilknyttet brukerobjektet i LDAP- eller AD-hierarkiet.
|
| config-user-object-class | Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet. For eksempel inetOrgPerson (LDAP) eller bruker (AD) |
| config-group-search-path | I likhet med config-user-search-path kan dette feltet stå tomt, og i så fall kan authc spørre hele domenet. Hvis en basis-DN ble angitt i config-server-adressen, angir du den relative banen (unntatt basis-DN) til domenet. |
| config-group-name-attr | Attributtet som identifiserer gruppenavnet. For eksempel cn |
| config-group-object-class | Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet.
|
| config-group-member-attr | Gruppemedlemskapet til brukeren i en gruppe.
|
| config-user-search-filter | (Valgfritt.) Filteret som NetWorker Authentication Service kan bruke til å utføre brukersøk i LDAP- eller AD-hierarkiet. RFC 2254 definerer filterformatet. |
| config-group-search-filter | (Valgfritt.) Filteret som NetWorker Authentication Service kan bruke til å utføre gruppesøk i LDAP- eller AD-hierarkiet. RFC 2254 definerer filterformatet. |
| config-search-subtree | (Valgfritt.) En ja - eller nei-verdi som angir om den eksterne myndigheten skal utføre undertresøk. Standardverdi: nei |
| config-user-group-attr | (Valgfritt.) Dette alternativet støtter konfigurasjoner som identifiserer gruppemedlemskapet for en bruker i egenskapene til brukerobjektet. For eksempel, for AD, angir du attributtmedlemav. |
| config-objektklasse | (Valgfritt.) Objektklassen til den eksterne godkjenningsinstansen. RFC 4512 definerer objektklassen. Standardverdi: objektklasse. |
Eksempel:
call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
Når skriptet er fylt ut, kan du kjøre det fra kommandolinjen på NetWorker-serveren.
C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.
Syntaks: nsrlogin -t tenant -d domain -u user
Eksempel:
nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded
Hvis godkjenningen lykkes, samler du inn Distinguished Name
(DN) for AD NetWorker/backup administrators-gruppen ved å kjøre følgende kommando på NetWorker-serveren:
(DN) for AD NetWorker/backup administrators-gruppen ved å kjøre følgende kommando på NetWorker-serveren:
Syntaks:
authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name
Eksempel:
authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Samle inn DN for networker-/sikkerhetskopiadministratorgruppen.
Logg på NMC som standard NetWorker Administrator-konto. Under Setup -->Users and Roles-NMC Roles (Oppsett – Brukere og Roller – NMC-roller) legger du til gruppe-DN >som er samlet inn fra trinnet ovenfor, i feltet External Roles (Eksterne roller) i de aktuelle rollene for denne AD-gruppen. Fullstendige administratorer skal ha rollene Console Application Administrator og Console Security Administrator. (Se konfigurasjonsveiledningen for NetWorker Security for mer informasjon om disse rollene.)
Logg på NMC som standard NetWorker Administrator-konto. Under Setup -->Users and Roles-NMC Roles (Oppsett – Brukere og Roller – NMC-roller) legger du til gruppe-DN >som er samlet inn fra trinnet ovenfor, i feltet External Roles (Eksterne roller) i de aktuelle rollene for denne AD-gruppen. Fullstendige administratorer skal ha rollene Console Application Administrator og Console Security Administrator. (Se konfigurasjonsveiledningen for NetWorker Security for mer informasjon om disse rollene.)
Dette gjør det slik at AD-brukere kan logge på og administrere NMC-konsollen. Du må imidlertid gi tillatelser til disse brukerne på NetWorker-serveren. Som standard NetWorker Administrator-konto kobles du til NetWorker-serveren. Under Serverbrukergrupper> legger du til gruppe-DN i feltet External Roles (Eksterne roller) for de aktuelle rollene for denne AD-gruppen. Fullstendige administratorer skal ha tillatelsene «Application Administrators» (Applikasjonsadministratorer) og Security Administrators (Sikkerhetsadministratorer).
Når AD-gruppe-DC-ene er lagt til i feltene External Roles (Eksterne roller) på både NMC- og NetWorker-serveren, kan du prøve å logge på NMC ved hjelp av AD-kontoen din.
Når du er logget på AD/LDAP-brukernavnet, vises det øverst til høyre i NMC:
Tilleggsinformasjon
Artikkelegenskaper
Berørt produkt
NetWorker
Produkt
NetWorker, NetWorker Management Console
Dato for siste publisering
10 okt. 2023
Versjon
6
Artikkeltype
How To