NetWorker：AD 使用者無法透過 LDAPS 登入「無法剖析來自 json 字串的伺服器回應」

• 使用者正在存取 NetWorker Management Console （NMC），或 nsrlogin 命令列並收到錯誤：

An error occurred while validating user credentials. Verify that NetWorker Authentication Service is running.
[POST failed with HTTP-ERROR: 500 Server Message: Could not parse server-response from json string]

• 外部認證機構是使用 LDAP over SSL 選項進行設定;但是，驗證伺服器在 Active Directory Microsoft：
  • 設定 >使用者和角色>外部授權 >以滑鼠右鍵按一下外部授權>機構屬性： 

HTTP Error 500 "Internal Server Error."

選取 LDAP over SSL 選項時，它會將內部屬性 Active Directory 設為 false。這會使透過 NetWorker 在 Microsoft Active Directory 中設定的使用者無法成功登入。

這可以從 authc_config 使用 root 或系統管理員命令提示字元的命令列：

authc_config -u Administrator -e find-all-configs

authc_config -u Administrator -e find-config -D config-id=config_id#

[root@networker-mc ~]# authc_config -u administrator -p 'Pa$$w0rd01' -e find-all-configs 
The query returns 1 records.
Config Id Config Name
2         amer     
[root@networker-mc ~]# authc_config -u administrator -p 'Pa$$w0rd01' -e find-config -D config-id=2 | grep -i "is active directory"
Is Active Directory          : false

LDAP over SSL 選項不適用於 AD over SSL。

因應措施： 

可使用 authc_config 命令可用來將 Active Directory 的組態值更新為 true。

Windows：

1. 在 NetWorker （authc） 伺服器，開啟管理員命令提示字元。
2. 取得外部授權設定的組態 ID：

authc_config -u Administrator -p NetWorker_Administrator_Password -e find-all-configs

authc_config -u Administrator -p NetWorker_Administrator_Password -e find-config -D config-id=config_id#

3. 使用下列命令更新 是 Active Directory 值： 

authc_config -u administrator -p NetWorker_Administrator_Password -e update-config -D config-id=config_id# -D "config-active-directory=y" -D "config-server-address=ldaps://domain_server_hostname:636/dc=domain,dc=com" -D config-user-dn=”cn=service_account,ou=some_group,dc=domain,dc=com" -D config-user-dn-password="Service_Account_Password"

C:\Users\Administrator.AMER>authc_config -u administrator -p 'Pa$$w0rd01' -e update-config -D config-id=1 -D "config-active-directory=y" -D "config-server-address=ldaps://dc.amer.lan:636/dc=amer,dc=lan" -D "config-user-dn=cn=administrator,cn=users,dc=amer,dc=lan" -D config-user-dn-password="Pa$$w0rd01"
Configuration ad is updated successfully.

C:\Users\Administrator.AMER>

4. 現在應可成功完成透過 NetWorker 的 AD 登入。

Linux：

1. 在 NetWorker （authc） 伺服器中，請開啟根命令提示字元。
2. 取得外部授權設定的組態 ID：

authc_config -u Administrator -p 'NetWorker_Administrator_Password' -e find-all-configs

authc_config -u Administrator -p 'NetWorker_Administrator_Password' -e find-config -D config-id=config_id#

3. 建立包含 AD 服務帳戶密碼的隱藏文字檔：

echo 'Service_Account_Password' > /root/.sapasswd.txt

4. 使檔案僅可由 root 存取：

chmod 700 /root/.sapasswd.txt

5. 建立一個指令檔以執行從隱藏檔案呼叫密碼，並執行 authc_config 更新組態的命令：

vi authc_update.sh

PASSWD=`cat /root/.sapasswd.txt`

authc_config -u administrator -p 'NetWorker_Administrator_Password' -e update-config -D config-id=config_id# -D "config-active-directory=y" -D "config-server-address=ldaps://domain_server_hostname:636/dc=domain,dc=com" -D config-user-dn=”cn=service_account,ou=some_group,dc=domain,dc=com" -D config-user-dn-password="$PASSWD"

6. 在文稿上設定許可權，使其可執行：

chmod 755 authc_update.sh

7. 執行指令檔： /authc_update.sh

[root@nsr ~]# cat authc_update.sh                    
PASSWD=`cat /root/.sapasswd.txt`

authc_config -u administrator -p 'Pa$$w0rd01' -e update-config -D config-id=2 -D "config-active-directory=y" -D "config-server-address=ldaps://dc.amer.lan:636/dc=amer,dc=lan" -D "config-user-dn=cn=administrator,cn=users,dc=amer,dc=lan" -D config-user-dn-password="$PASSWD"
[root@nsr ~]# chmod 755 authc_update.sh                        
[root@nsr ~]# ./authc_update.sh                                
Configuration AD is updated successfully.

8. 現在應可成功完成透過 NetWorker 的 AD 登入。

如果從 NMC 更新組態， 則 Is Active Directory 旗標會再次設為 false。如果必須更新配置，請改用以下方法之一：

• 命令列或指令檔方法：NetWorker：如何使用 authc_config 指令檔設定 LDAP/AD
• NetWorker Web 使用者介面：NetWorker：如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)