NetWorker:AD 或 LDAP 外部認證整合 - 故障診斷登入或遺失資訊的問題

摘要: 本文討論與 NetWorker 整合不正確的 AD 或輕量型目錄存取通訊協定 (LDAP) 所引起的問題,以及如何解決這些問題。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

  • 無法登入 NetWorker 使用者介面。
  • nsrlogin 命令失敗或傳回錯誤。
  • NetWorker 驗證成功,但 UI 未正確顯示資料。
  • AD 或 LDAP 查詢沒有傳回任何結果。
  • AD 或 LDAP 傳回不完整的回應。

原因

Active Directory (AD) 或輕量級目錄訪問協定 (LDAP) 是集中管理、操作分散式網路實體身份驗證的企業實現。

NetWorker 可以使用此通訊協定來驗證使用者並授權作業,取代基於軟體特定使用者帳戶資料庫的舊方法。

但是,NetWorker 中的組態參數不正確或遺失,會導致 AD 或 LDAP 查詢傳回不完整的結果,或根本沒有傳回任何結果。

解析度

針對 NetWorker 的 AD 或 LDAP 整合問題進行故障診斷時,請使用 authc_configauthc_mgmt 命令。

這些命令的示例如下。若要查看所有可用選項,請執行每個命令,且不帶其他引數。

如何尋找與更新您的組態詳細資料。

使用與所遇到問題相對應的使用者名稱和密碼,執行下列命令以輸出您的組態詳細資料:

authc_config -u Administrator -p 'password' -e find-all-configs
authc_config -u Administrator -p 'password' -e find-all-tenants
authc_config -u Administrator -p 'password' -e find-config -D config-id=#

注意:在某些系統上,將密碼指定為純文字會導致 不正確的密碼 錯誤。重新執行命令,不使用 -p password 參數提示輸入密碼。將第三個命令中的 # 替換為第一個命令報告的 config-id

租戶值和名稱用於以下某些命令。

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-configs
Enter password:
The query returns 1 records.
Config Id Config Name
1         lab

[root@nsrsvr ~]# authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : lab
Config Domain                : lab
Config Server Address        : ldap://winldap.lab.loc:389/DC=lab,DC=loc
Config User DN               : CN=Administrator,CN=Users,DC=lab,DC=loc
Config User Group Attribute  : memberOf
Config User ID Attribute     : sAMAccountName
Config User Object Class     : user
Config User Search Filter    :
Config User Search Path      : CN=Users
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     : CN=NetWorker Admins
Config Object Class          : objectClass
Is Active Directory          : true
Config Search Subtree        : true
上述範例顯示了在具有外部 AD 身份驗證的工作實驗室環境中使用的配置設置。某些值(如:伺服器位址、配置使用者以及使用者或組搜索路徑)特定於每個環境;但是,其他值是預設的AD屬性。
 
若要修正任何不正確的值,請從 NetWorker Management Console (NMC) 或 NetWorker Web 使用者介面 (NWUI) 更新外部授權資源:
 
或者,可以使用指令檔範本:
 
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux:/opt/nsr/authc-server/scripts/
 
使用您的資訊填入指令檔,然後變更 -e add-config 命令參數 -e update-config
NetWorker:如何使用 authc_config 指令檔設定 LDAP/AD
 
注意: 若要使用 AD,請使用 authc-create-ad-config 若為 LDAP,請使用 authc-create-ldap-config 腳本範本。填入後,請卸下 .template ,然後從管理或根命令提示符運行腳本。

問題 1不正確的組態使用者 ID 屬性

查詢 AD 或 LDAP 使用者時,此欄位中的不正確值會導致 使用者名稱 欄為空。此列顯示如何為登錄指定使用者名。如果未指定該值,則該帳戶將報告為無效。若要擷取這些值,請執行:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     :
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name Full Dn Name
          cn=Administrator,cn=Users,dc=lab,dc=loc
          cn=Guest,cn=Users,dc=lab,dc=loc
          cn=krbtgt,cn=Users,dc=lab,dc=loc
...
注意:“使用者名”列為空。與 LDAP 或 AD 層次結構中的使用者對象關聯的唯一使用者 ID 通常是 uid (LDAP) 或 sAMAccountName (AD)。在配置中更新此值將更正「 使用者名」 列中報告的使用者名。 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User ID Attribute     : sAMAccountName
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...

問題 2:設定使用者物件類為空或不正確。

查詢 AD 或 LDAP 使用者時,此欄位中的值不正確會導致不會傳回任何結果。使用這些命令測試此症狀和原因:

authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=CONFIG_ID
authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-users -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 0 records.
User Name Full Dn Name

[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password: 
...
Config User Object Class :
在目錄層次結構中標識使用者的物件類的屬性通常是 inetOrgPerson (LDAP) 或使用者 (AD)。 

使用這些值更新組態並進行測試,以確保正確報告使用者名稱和辨別名稱 (DN): 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config User Object Class     : user
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain=lab
Enter password:
The query returns 13 records.
User Name     Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=loc
Guest         cn=Guest,cn=Users,dc=lab,dc=loc
krbtgt        cn=krbtgt,cn=Users,dc=lab,dc=loc
jblog         cn=Joe Bloggs,cn=Users,dc=lab,dc=loc
...
不正確的 設定使用者搜尋路徑 是導致使用者遺失的另一個潛在原因。這是一個 DN,用於指定身份驗證服務在 LDAP 或 AD 層次結構中搜尋使用者時應使用的搜尋路徑。指定相對於在設定伺服器位址選項中指定的基本 DN 的搜尋路徑。例如,對於 AD,請指定 cn=users。向目錄管理員確認此欄位是否正確。
 

問題 3:組態群組名稱屬性為空白或不正確。

查詢使用者的 AD 或 LDAP 群組時,此欄位中的值不正確,會導致 群組名稱 欄為空。下列命令會檢查症狀和原因:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name Full Dn Name
           cn=NetWorker Admins,dc=lab,dc=loc
缺少標識組名稱的屬性(如 cn)。使用這些值更新組態,並確保群組名稱現在列在群組 名稱 欄中。 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Name Attribute  : cn
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc

問題 4:組態群組物件類別為 空白或不正確

在查詢使用者的 AD 或 LDAP 群組時,此欄位中的值不正確會導致不會傳回任何結果。使用這些命令測試症狀和原因:

authc_mgmt -u Administrator -p 'PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
authc_config -u Administrator -p 'PASSWORD' -e find-config -D config-id=1 
[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 0 records.
Group Name Full Dn Name

Configuration lab is updated successfully. [root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1 
... 
Config Group Object Class : 
...
識別目錄階層中群組的物件類別屬性為 groupOfUniqueNames (LDAP) 或 groupOfNames (AD)。若 為 AD,請使用 群組。 
 
使用這些值更新組態,現在應會看到列出的群組名稱和群組 DN: 
[root@nsrsvr ~]# authc_config -u Administrator -e find-config -D config-id=1
Enter password:
...
Config Group Object Class    : group
...

[root@nsrsvr ~]# authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab -D user-name=bkupadmin
Enter password:
The query returns 1 records.
Group Name       Full Dn Name
NetWorker Admins cn=NetWorker Admins,dc=lab,dc=loc
群組未顯示的其他潛在原因包括:
  1. 指定的 AD 使用者 authc_mgmt 命令不是 AD 組的成員。測試其他使用者名並與您的AD管理員聯繫以確認使用者或組成員身份。
  2. 「組態群組搜尋路徑」值不正確。這是一個 DN,用於指定身份驗證服務在目錄層次結構中搜索組時應使用的搜尋路徑。指定相對於您在配置伺服器位址選項中指定的基本 DN 的搜尋路徑。

其他資訊

NetWorker:AD 與 LDAP 整合與組態分級指南

詳細說明如何使用 NetWorker 配置 AD、LDAP、LDAPS 的方法:

如需其他說明文件,請參閱《NetWorker 安全性組態指南》,網址為: https://www.dell.com/support/home/product-support/product/networker/docs
 

受影響的產品

NetWorker

產品

NetWorker, NetWorker Management Console
文章屬性
文章編號: 000057044
文章類型: Solution
上次修改時間: 12 6月 2025
版本:  4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。