NetWorker. Настройка аутентификации AD/LDAP
Сводка: В этой статье базы знаний представлен обзор добавления внешних полномочий к NetWorker с помощью мастера netWorker Management Console (NMC). Аутентификацию Active Directory (AD) или Linux LDAP можно использовать вместе с учетной записью администратора NetWorker по умолчанию или другими локальными учетными записями NMC. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Инструкции
ПРИМЕЧАНИЕ. Для интеграции AD over SSL следует использовать веб-интерфейс пользователя NetWorker для настройки внешних полномочий. См. Раздел NetWorker: Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI).
Войдите в консоль управления NetWorker Management Console (NMC) с учетной записью администратора NetWorker по умолчанию. На вкладке Setup (Настройка>) можно выбрать «User and Roles» (Пользователь и роли) и «External Authority» (Внешние полномочия).
Можно по-прежнему использовать команды authc_config и authc_mgmt для запроса конфигураций, пользователей и групп AD/LDAP. однако рекомендуется использовать NMC для добавления AD/LDAP в NetWorker.
1) Чтобы добавить новый полномочия,нажмите правой кнопкой мыши в окне Внешний орган и выберите Пункт Новый.
2) В поле External Authentication Authority (Внешний центр аутентификации) необходимо заполнить обязательные поля информацией об AD/LDAP.
3) Установите флажок «Показать дополнительные параметры», чтобы просмотреть все поля.
| Тип сервера | Выберите LDAP, если сервер аутентификации — это сервер LDAP Linux/UNIX или Active Directory, если используется сервер Microsoft Active Directory. |
| Имя полномочия | Укажите имя этого внешнего центра аутентификации. Это имя может быть любым, каким вы хотите быть. Следует только различать другие органы власти, когда настроено несколько экземпляров. |
| Имя сервера поставщика | Это поле должно содержать полное доменное имя (FQDN) сервера AD или LDAP. |
| Арендатор | Клиенты могут использоваться в средах, где можно использовать несколько методов аутентификации и/или когда необходимо настроить несколько центров. По умолчанию выбран клиент по умолчанию. Использование клиентов изменяет метод входа в систему. При использовании клиента по умолчанию можно войти в NMC с помощью «domain\user», если используется клиент, отличный от клиента по умолчанию, необходимо указать «tenant\domain\user» при входе в NMC. |
| Домен | Укажите полное имя домена (за исключением имени хоста). Как правило, это базовое доменное имя, которое состоит из значений компонента домена (DC) в вашем домене. |
| Номер порта | Для интеграции LDAP и AD используйте порт 389. Для LDAP over SSL используйте порт 636. Эти порты являются портами по умолчанию не NetWorker на сервере AD/LDAP. |
| Имя пользователя | Укажите различающееся имя учетной записи пользователя с полным доступом для чтения к каталогу LDAP или AD.При переопределите значение, заданное в поле Домен, укажите относительное доменное имя учетной записи пользователя или полное доменное имя. |
| Пароль DN пользователя | Укажите пароль указанной учетной записи пользователя. |
| Класс объекта группы | Класс объекта, который идентифицирует группы в иерархии LDAP или AD.
|
| Путь группового поиска | Это поле можно оставить пустым, в этом случае authc может запросить полный домен. Разрешения на доступ к серверу NMC/NetWorker должны быть предоставлены, прежде чем эти пользователи/группы смогут войти в NMC и управлять сервером NetWorker. Укажите относительный путь к домену, а не к полному домену. |
| Атрибут имени группы | Атрибут, который идентифицирует имя группы. Например, cn. |
| Атрибут члена группы | Членство пользователя в группе.
|
| Класс объекта пользователя | Класс объекта, который идентифицирует пользователей в иерархии LDAP или AD. Например, inetOrgPerson илипользователь |
| Путь к пользователю | Как и путь группового поиска, это поле может быть пустым, в этом случае authc может запросить полный домен. Укажите относительный путь к домену, а не к полному домену. |
| Атрибут идентификатора пользователя | Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD.
|
Например, интеграция Active Directory:
ПРИМЕЧАНИЕ. Обратитесь к администратору AD/LDAP, чтобы проверить, какие поля AD/LDAP необходимы для вашей среды.
4) После заполнения всех полей нажмите OK, чтобы добавить новый орган.
5) Можно использовать команду authc_mgmt на сервере NetWorker, чтобы убедиться, что группы/пользователи AD/LDAP отображаются:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Например,
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМЕЧАНИЕ. В некоторых системах команды authc могут не работать с ошибкой «неверный пароль», даже если задан правильный пароль. Это связано с тем, что пароль указывается как видимый текст с параметром «-p». Если вы столкнулись с этой ошибкой, удалите пароль «-p» из команд. После выполнения команды вам будет предложено ввести скрытый пароль.
имя (DN) группы AD/LDAP (собрано на шаге 5) в поле внешних ролей. Пользователям, которым требуются разрешения на тот же уровень, что и для учетной записи администратора NetWorker по умолчанию, также необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности консоли». Для пользователей /групп, которым не требуются права администратора в консоли NMC, добавьте полное доменное имя в «Console User» — внешние роли.
ПРИМЕЧАНИЕ. По умолчанию уже имеется доменное имя группы ЛОКАЛЬНЫХ администраторов сервера NetWorker. НЕ удаляйте это имя.
7) Разрешения на доступ также должны применяться для каждого сервера NetWorker, настроенного в NMC. Это можно сделать одним из двух способов:
вариант 1)
Подключите сервер NetWorker из NMC, откройте Server -->User Groups. Откройте свойства роли «Администраторы
приложений» и введите различающееся имя (DN) группы AD/LDAP (собрано на шаге 5) во внешнем поле ролей. Пользователям, которым требуются разрешения на тот же уровень, что и учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности».
приложений» и введите различающееся имя (DN) группы AD/LDAP (собрано на шаге 5) во внешнем поле ролей. Пользователям, которым требуются разрешения на тот же уровень, что и учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности».
ПРИМЕЧАНИЕ. По умолчанию уже имеется доменное имя группы ЛОКАЛЬНЫХ администраторов сервера NetWorker. НЕ удаляйте это имя.
Вариант 2)
Для пользователей/групп AD, которым необходимо предоставить права администратора для команды nsraddadmin, можно выполнить из командной строки администратора или root на сервере NetWorker:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" Пример:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) Войдите в NMC с помощью учетной записи AD/LDAP (например, domain\user):
Если использовался клиент, отличный от клиента по умолчанию, его необходимо указать перед доменом, например: tenant\domain\user.
Используемая учетная запись будет отображаться в правом верхнем углу. Пользователь может выполнять действия в соответствии с ролями, назначенными в NetWorker.
9) Если требуется, чтобы группа AD/LDAP смогла управлять внешними средами, необходимо выполнить следующие действия на сервере NetWorker.
9) Если требуется, чтобы группа AD/LDAP смогла управлять внешними средами, необходимо выполнить следующие действия на сервере NetWorker.
а) Откройте командную строку администратора/пользователя root.
б) Используя DN группы AD (собранное на шаге 5), вы хотите предоставить FULL_CONTROL на выполнение:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Например,
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Дополнительная информация
NetWorker NWUI: Настройка AD/LDAP из веб-интерфейса NetWorker
Networker: Настройка LDAP/AD с помощью authc_config сценариев
Networker: Настройка аутентификации LDAPS.
Networker: Настройка LDAP/AD с помощью authc_config сценариев
Networker: Настройка аутентификации LDAPS.
Затронутые продукты
NetWorkerПродукты
NetWorker, NetWorker Management ConsoleСвойства статьи
Номер статьи: 000156107
Тип статьи: How To
Последнее изменение: 14 Jan 2025
Версия: 9
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.