NetWorker: Konfigurowanie uwierzytelniania AD/LDAP

Podsumowanie: Ten artykuł bazy wiedzy zawiera omówienie sposobu dodawania uprawnień zewnętrznych do NetWorker za pomocą kreatora uprawnień zewnętrznych konsoli zarządzania NetWorker Management Console (NMC). Uwierzytelnianie LDAP w usłudze Active Directory (AD) lub systemie Linux może być używane razem z domyślnym kontem administratora NetWorker lub innymi lokalnymi kontami NMC. ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Instrukcje

UWAGA: W przypadku integracji AD przez SSL urząd zewnętrzny należy skonfigurować za pomocą sieciowego interfejsu użytkownika NetWorker. Zobacz NetWorker: Jak skonfigurować "AD przez SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI).

 

Zasoby instytucji zewnętrznych można tworzyć i zarządzać nimi za pomocą konsoli NetWorker Management Console (NMC), sieciowego interfejsu użytkownika NetWorker (NWUI) lub skryptów AUTHC:

  • Konsola zarządzania NetWorker Management Console (NMC): Zaloguj się do NMC przy użyciu konta administratora NetWorker. Przejdź do opcji Konfiguracja-Użytkownicy>i role-Uprawnienia>zewnętrzne.
  • Sieciowy interfejs użytkownika NetWorker (NMC): Zaloguj się do interfejsu NWUI przy użyciu konta administratora NetWorker. Przejdź do pozycji Authentication Server - External Authorities (Serwer uwierzytelniania —>urzędy zewnętrzne).
UWAGA: W tym artykule bazy wiedzy opisano sposób dodawania AD/LDAP za pomocą NMC. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z interfejsu NWUI, zobacz: NetWorker: Konfigurowanie usługi AD lub LDAP z poziomu sieciowego interfejsu użytkownika NetWorker.

Wymagania wstępne:

Uwierzytelnianie zewnętrzne (AD lub LDAP) jest zintegrowane z bazą danych serwera uwierzytelniania NetWorker (AUTHC). Nie jest to bezpośrednia część baz danych NMC lub NWUI. W środowiskach z jednym serwerem NetWorker serwer NetWorker jest hostem AUTHC. W środowiskach z wieloma serwerami NetWorker, zarządzanych za pośrednictwem jednego NMC, tylko jeden z serwerów NetWorker jest serwerem AUTHC. Określenie hosta AUTHC jest wymagane dla authc_mgmt Polecenia użyte w kolejnych krokach tego artykułu. Serwer AUTHC jest identyfikowany w interfejsie serwera NetWorker Management Console (NMC) gstd.conf pliku:

  • Linux: /opt/lgtonmc/etc/gstd.conf
  • Windows (ustawienie domyślne): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
    UWAGA: Polecenie gstd.conf zawiera ciąg znaków, authsvc_hostname który określa serwer uwierzytelniania używany do przetwarzania żądań logowania do konsoli NetWorker Management Console (NMC).

Process:

Zaloguj się do konsoli NetWorker Management Console (NMC) przy użyciu domyślnego konta administratora NetWorker. Na karcie Konfiguracja —>Użytkownik i role jest dostępna nowa opcja dla instytucji zewnętrznej.

Okno konfiguracji konsoli NetWorker Management Console dla repozytorium instytucji zewnętrznych
 
  1. Aby dodać nowy urząd,kliknij prawym przyciskiem myszy w oknie Urząd zewnętrzny i wybierz Nowy.
  2. W polu Urząd uwierzytelniania zewnętrznego należy wypełnić wymagane pola informacjami AD/LDAP.
  3. Zaznacz pole "Pokaż opcje zaawansowane", aby wyświetlić wszystkie pola.
Server Type Wybierz opcję LDAP, jeśli serwerem uwierzytelniania jest serwer LDAP systemu Linux/UNIX, lub Active Directory, jeśli używany jest serwer Microsoft Active Directory.
Authority Name Podaj nazwę tego zewnętrznego urzędu uwierzytelniania. Ta nazwa może być dowolna, bo służy tylko do rozróżniania urzędów, gdy skonfigurowano ich wiele.
Provider Server Name To pole powinno zawierać w pełni kwalifikowaną nazwę domeny (FQDN) serwera AD lub LDAP.
Tenant Dzierżawy mogą być używane w środowiskach, w których można użyć więcej niż jednej metody uwierzytelniania lub gdy należy skonfigurować wiele urzędów. Domyślnie wybrana jest dzierżawa „default”. Użycie dzierżaw zmienia metodę logowania. Zaloguj się do NMC za pomocą polecenia "domain\user" w przypadku domyślnego najemcy lub "tenant\domain\user" w przypadku innych dzierżawców.
Domena Podaj pełną nazwę domeny (bez nazwy hosta). Zazwyczaj jest to podstawowa nazwa wyróżniająca (DN), która składa się z wartości składnika domeny (DC) domeny. 
Numer portu W przypadku integracji LDAP i AD należy użyć portu 389. W przypadku protokołu LDAP przez SSL użyj portu 636. Porty te nie są domyślnymi portami serwera AD/LDAP innymi niż NetWorker.
UWAGA: Zmiana portu na 636 nie jest wystarczająca do skonfigurowania protokołu SSL. Certyfikat CA (i łańcuch, jeśli jest używany łańcuch) musi zostać zaimportowany z serwera domeny do serwera AUTHC. Zobacz NetWorker: Jak skonfigurować "AD przez SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI).
User DN Określ nazwę Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.  wyróżniającą (DN) konta użytkownika, które ma pełny dostęp do odczytu do katalogu LDAP lub AD.
Określ względną nazwę wyróżniającą konta użytkownika lub pełną nazwę wyróżniającą, jeśli zastępuje wartość ustawioną w polu Domena.
User DN Password Podaj hasło określonego konta użytkownika.
Group Object Class Klasa obiektów identyfikująca grupy w hierarchii LDAP lub AD.
  • W przypadku protokołu LDAP użyj opcji groupOfUniqueNames lub groupOfNames 
    • UWAGA: Istnieją inne klasy obiektów grup oprócz groupOfUniqueNames i groupOfNames.  Użyj dowolnej klasy obiektów skonfigurowanej na serwerze LDAP.
  • W przypadku protokołu AD użyj opcji group
Group Search Path To pole może pozostać puste, w takim przypadku AUTHC może wysyłać zapytania do całej domeny. Aby ci użytkownicy/grupy mogli zalogować się do NMC i zarządzać serwerem NetWorker, należy przyznać uprawnienia dostępu do serwera NMC/NetWorker. Określ ścieżkę względną do domeny, a nie pełną nazwę wyróżniającą.
Group Name Attribute Atrybut identyfikujący nazwę grupy; Na przykład CN.
Group Member Attribute Określa członkostwo użytkownika w grupie.
  • W przypadku LDAP:
    • Kiedy Group Object Class ma wartość groupOfNames, atrybut jest zwykle member.
    • Kiedy Group Object Class ma wartość groupOfUniqueNames, atrybut jest zwykle uniquemember.
  •  W przypadku AD wartość jest zwykle member.
User Object Class Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD.
Na przykład: inetOrgPerson lub user
User Search Path Podobnie jak w przypadku ścieżki wyszukiwania grupowego, to pole może pozostać puste, w którym to przypadku AUTHC może wysyłać zapytania o pełną domenę. Określ ścieżkę względną do domeny, a nie pełną nazwę wyróżniającą.
User ID Attribute Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD.
  • W przypadku protokołu LDAP atrybutem tym jest zazwyczaj uid.
  • W przypadku protokołu AD atrybutem tym jest zazwyczaj sAMAccountName.
Na przykład integracja z usługą Active Directory:
Przykład dodawania uwierzytelniania usługi Active Directory do NetWorker
UWAGA: Skontaktuj się z administratorem AD/LDAP, aby upewnić się, które pola właściwe dla AD/LDAP są potrzebne w Twoim środowisku.
 
  1. Po wypełnieniu wszystkich pól kliknij przycisk OK, aby dodać nowe uprawnienie.
  2. Możesz użyć polecenia authc_mgmt na serwerze NetWorker AUTHC w celu potwierdzenia, że grupy/użytkownicy AD/LDAP są widoczni:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p 'NetWorker_Admin_Pass' -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=external_username
Oto przykład: 
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan
The query returns 47 records.
User Name            Full Dn Name
Administrator        CN=Administrator,CN=Users,dc=amer,dc=lan
...
bkupadmin            CN=Backup Administrator,CN=Users,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan
The query returns 72 records.
Group Name                              Full Dn Name
Administrators                          CN=Administrators,CN=Builtin,dc=amer,dc=lan
...
NetWorker_Admins                        CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan

[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan
UWAGA: W niektórych systemach polecenia AUTHC mogą zakończyć się niepowodzeniem z błędem "nieprawidłowe hasło", nawet jeśli podano prawidłowe hasło. Dzieje się tak ze względu na podawanie hasła w formie widocznego tekstu w opcji „-p”. W przypadku wystąpienia tego błędu usuń „-p password„ z poleceń. Po uruchomieniu polecenia zostanie wyświetlony monit o wprowadzenie ukrytego hasła.
 
  1.  Po zalogowaniu się do NMC jako domyślne konto administratora NetWorker otwórz menu Konfiguracja —> użytkownicy i role —> Role NMC. Otwórz właściwości roli "Administratorzy aplikacji konsolowych" i wprowadź nazwęKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.  wyróżniającą (DN) grupy AD/LDAP (zebraną w kroku 5) w polu Role zewnętrzne. W przypadku użytkowników, którzy wymagają domyślnych uprawnień administratora NetWorker, określ nazwę wyróżniającą grupy AD/LDAP w roli "Administratorzy zabezpieczeń konsoli". W przypadku użytkowników/groups, którzy nie potrzebują uprawnień administratora do konsoli NMC, dodaj ich pełną nazwę wyróżniającą w sekcji "Console User" — role zewnętrzne.
UWAGA: Domyślnie istnieje już nazwa wyróżniająca grupy LOKALNYCH administratorów serwera NetWorker, NIE usuwaj jej.
  1. Uprawnienia dostępu należy również zastosować dla każdego serwera NetWorker skonfigurowanego w NMC. Można to zrobić na jeden z dwóch sposobów:
Opcja 1)
Podłącz serwer NetWorker z NMC, otwórz Serwer —> grupy użytkowników. Otwórz właściwości roli "Application Administrators" i wprowadź nazwęKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. wyróżniającą (DN) grupy AD/LDAP (zebraną w kroku 5) w polu Role zewnętrzne. W przypadku użytkowników, którzy wymagają tego samego poziomu uprawnień co domyślne konto administratora NetWorker, należy określić nazwę wyróżniającą grupy AD/LDAP w roli "Security Administrators".

UWAGA: Domyślnie istnieje już nazwa wyróżniająca grupy LOKALNYCH administratorów serwera NetWorker, NIE usuwaj jej.
 
Opcja 2)
Użytkownikom/grupom AD, którym chcesz przyznać uprawnienia administratora nsraddadmin Polecenie można uruchomić z wiersza poleceń administratora lub użytkownika root na serwerze NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Przykład:  
nsraddadmin -e "CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
  1. Zaloguj się do NMC za pomocą konta AD/LDAP (np. domena\użytkownik):
Przykład logowania za pomocą użytkownika zewnętrznego
Jeśli użyto dzierżawy innej niż domyślna, należy ją określić przed domeną, na przykład: dzierżawa\domena\użytkownik.
Konto, które jest używane, jest wyświetlane w prawym górnym rogu. Użytkownik może wykonywać akcje w oparciu o role przypisane w NetWorker.
Przykład wyglądu użytkownika zewnętrznego po zalogowaniu
  1. (OPCJONALNIE) Jeśli chcesz, aby grupa AD/LDAP mogła zarządzać urzędami zewnętrznymi, musisz wykonać następujące czynności na serwerze NetWorker.
    1. Otwórz wiersz poleceń administratora/root.
    2. Korzystając z nazwy wyróżniającej grupy AD (zebranej w kroku 5), której chcesz przyznać FULL_CONTROL Uprawnienie do uruchomienia:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Na przykład: 
[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,OU=Groups,dc=amer,dc=lan"
Permission FULL_CONTROL is created successfully.

[root@nsr ~]# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,OU=Groups,dc=amer...
[root@nsr ~]#

Dodatkowe informacje

Produkty, których dotyczy problem

NetWorker

Produkty

NetWorker Family
Właściwości artykułu
Numer artykułu: 000156107
Typ artykułu: How To
Ostatnia modyfikacja: 16 gru 2025
Wersja:  10
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.