NetWorker:AD 或 LDAP 外部身份验证集成 — 对登录问题或信息缺失问题进行故障处理

摘要: 本文讨论因 AD 或轻量级目录访问协议 (LDAP) 与 NetWorker 集成不正确而产生的问题以及如何解决这些问题。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

  • 无法登录到 NetWorker 用户界面。
  • nsrlogin 命令失败或返回错误。
  • NetWorker 身份验证成功,但 UI 无法正确显示数据。
  • AD 或 LDAP 查询不返回任何结果。
  • AD 或 LDAP 返回不完整的响应。

原因

Active Directory (AD) 或轻型目录访问协议 (LDAP) 是集中管理、作分布式网络实体身份验证的企业实施。

NetWorker 可以使用此协议对用户进行身份验证和授权作,从而取代基于特定于软件的用户帐户数据库的旧方法。

但是,NetWorker 中的配置参数不正确或缺失会导致 AD 或 LDAP 查询返回不完整的结果,或者根本没有。

解决方案

在对 NetWorker 的 AD 或 LDAP 集成问题进行故障处理时,请使用 authc_configauthc_mgmt NetWorker 服务器上的命令。

下面提供了这些命令的示例。若要查看所有可用选项,请运行每个命令,而不使用其他参数。

如何查找和更新您的配置详细信息。

运行以下命令,使用与所遇到问题对应的用户名和密码输出您的配置详细信息:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

提醒:在某些系统上,以纯文本形式指定密码会导致 密码错误 。在没有 -p password 参数提示输入密码。将第三个命令中的 # 替换为第一个命令报告的 config-id

租户值和名称在以下一些命令中使用。

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
上面的示例显示了在具有外部 AD 身份验证的工作实验室环境中使用的配置设置。某些值(如:服务器地址、配置用户和用户或组搜索路径)特定于每个环境;但是,其他值是默认 AD 属性。
 
要修复任何不正确的值,请从 NetWorker Management Console (NMC) 或 NetWorker Web 用户界面 (NWUI) 更新外部授权资源:
 
(可选)可以使用脚本模板:
 
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux的:/opt/nsr/authc-server/scripts/
 
使用您的信息填充脚本,并将 -e add-config command 参数设置为 -e update-config
NetWorker:如何使用 authc_config 脚本设置 LDAP/AD
 
提醒: 对于 AD,请使用 authc-create-ad-config 对于 LDAP,请使用 authc-create-ldap-config 脚本模板。填充后,删除 .template 从文件名,然后从管理或 root 命令提示符运行脚本。

问题 1配置用户 ID 属性不正确

如果此字段中的值不正确,则在查询 AD 或 LDAP 用户时, 用户名列将为 空。此列显示如何为登录指定用户名。如果未指定值,则帐户将报告为无效。要检索这些值,请运行:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
提醒:用户名列为空。与 LDAP 或 AD 层次结构中的用户对象关联的唯一用户 ID 通常是 uid (LDAP) 或 sAMAccountName (AD)。在配置中更新此值可更正 用户名 列中报告的用户名。 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

问题 2:配置用户对象类为空或不正确。

如果此字段中的值不正确,则会导致在查询 AD 或 LDAP 用户时不会返回任何结果。使用以下命令测试此症状和原因:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
标识目录层次结构中的用户的对象类的属性通常是 inetOrgPerson (LDAP) 或 user (AD)。 

使用这些值更新配置并进行测试,以确保正确报告用户名和可分辨名称 (DN): 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
不正确的 配置用户搜索路径 是丢失用户的另一个潜在原因。这是一个 DN,用于指定身份验证服务在 LDAP 或 AD 层次结构中搜索用户时应使用的搜索路径。指定相对于 config-serveraddress 选项中指定的基本 DN 的搜索路径。例如,对于 AD,指定 cn=users。请与目录管理员确认此字段正确无误。
 

问题 3:“配置组名称”属性为空或不正确。

在查询用户的 AD 或 LDAP 组时,如果此字段中的值不正确,则会导致 “组名称 ”列为空。以下命令检查症状和原因:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
标识组名称的属性(如 cn)缺失。使用这些值更新配置,并确保组名称现在列在 Group Name 列中。 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

问题 4:配置组对象类 为空或不正确

如果此字段中的值不正确,将导致在查询用户的 AD 或 LDAP 组时不会返回任何结果。使用以下命令测试症状和原因:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
标识目录层次结构中的组的对象类属性是 groupOfUniqueNames (LDAP) 或 groupOfNames (AD)。对于 AD,请使用 group。 
 
使用这些值更新配置,您现在应该会看到列出的组名称和组 DN: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
组不显示的其他潜在原因包括:
  1. 在 中指定的 AD 用户 authc_mgmt 命令不是 AD 组的成员。测试其他用户名,并向您的 AD 管理员确认用户或组成员身份。
  2. “配置组搜索路径”值不正确。这是一个 DN,用于指定身份认证服务在目录层次结构中搜索组时应使用的搜索路径。指定相对于您在config-server-address选项中指定的基本 DN 的搜索路径。

其他信息

NetWorker:AD 和 LDAP 集成和配置分流指南

详细说明如何使用 NetWorker 配置 AD、LDAP、LDAPS 的方法:

有关其他文档,请参阅《NetWorker 安全配置指南》,网址为:https://www.dell.com/support/home/product-support/product/networker/docs
 

受影响的产品

NetWorker

产品

NetWorker, NetWorker Management Console
文章属性
文章编号: 000057044
文章类型: Solution
上次修改时间: 12 6月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。