NetWorker:如何使用authc_config腳本設定 LDAP/AD
摘要: 本知識庫文章提供如何使用authc_config腳本範本新增 LDAP/AD 驗證的基本概觀。Active Directory (AD) 或 Linux LDAP 驗證可與預設的 NetWorker 系統管理員帳戶或其他本機 NetWorker 管理主控台 (NMC) 帳戶搭配使用。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
下列程式說明如何使用腳本將 AD 或 LDAP 驗證新增至 NetWorker。其他方法也可在本知識庫的「其他資訊」區段中取得。
您可以使用 NetWorker 伺服器下列路徑底下的腳本範本:
語法:
填入腳本後,您可以從 NetWorker 伺服器上的命令列執行。 腳本成功後,您可以執行下列命令,確認 NetWorker 伺服器可以使用 AD 進行驗證:
您可以使用 NetWorker 伺服器下列路徑底下的腳本範本:
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\scripts\
Linux:/opt/nsr/authc-server/scripts/
注意:當 Windows AD 控制器用於驗證時,會使用廣告腳本,ldap 腳本用於 linux/unix 驗證。您必須先從檔案名移除 .template,才能執行。如果這些腳本不存在,可使用下列資訊建立 .sh (Linux) 或 .bat (Windows)。
語法:
call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
注意:腳本內 <> 的任何值都必須變更。不屬於內部 <> 的值可以保留如前所示。
| config-tenant-id | 租使用者可在可以使用一個以上驗證方法的環境中使用,及/或在需要設定多個授權機構時使用。如果只使用一個 AD/LDAP 伺服器,則不需要建立租戶;您可以使用預設租使用者 config-tenant-id=1。請注意,使用租戶會改變您的登入方式。使用預設租使用者時,如果使用預設租使用者以外的租使用者,您可以使用「domain\user」登入 NMC,您登入 NMC 時必須指定「tenant-name\domain\user」。 |
| config-active-directory | 如果您使用的是 Microsoft Active Directory (AD) 伺服器:y 如果您使用的是 LDAP 伺服器 (例如:OpenLDAP:n 注意:有兩個不同的腳本範本「authc-create-ad-config」 和「authc-create-ldap-config」。請確定您在使用中的驗證平臺使用正確的範本。 |
| config-name | 此名稱只是新增至 NetWorker 之驗證組態的識別碼。 |
| config-domain | 這是用於登入 NetWorker 的功能變數名稱。例如,「emclab.local」可設為「emclab」。此選項可設定為符合您登入工作站的方式,以及與 AD/LDAP 整合的系統。 |
| config-server-address | < 通訊協定 > :// < hostname_or_ip_address > : < 埠 > / < base_dn > 通訊協定:
主機名稱/IP 位址:
|
| config-user-dn | 指定具有完整讀取存取 LDAP 或 AD 目錄之使用者帳戶的完整 辨別名稱 (DN),例如:CN=Administrator、CN=Users、DC=my、DC=domain、DC=com。 |
| config-user-dn-password | 為 config-user-dn 中指定的帳號指定密碼。 |
| config-user-search-path | 此欄位可保留空白,在此情況下,authc 可以查詢完整網域。在這些使用者/群組可以登入 NMC 並管理 NetWorker 伺服器之前,仍必須授予 NMC/NetWorker 伺服器存取權。如果在 config-server 位址中指定了 Base DN,請指定網域的 相對路徑(不包括基本 DN)。 |
| config-user-id-attr | 與 LDAP 或 AD 階層中的使用者物件相關聯的使用者 ID。
|
| config-user-object-class | 識別 LDAP 或 AD 階層中使用者的物件類別。 例如,inetOrgPerson (LDAP) 或使用者(AD) |
| config-group-search-path | 如同 config-user-search-path,此欄位可以保留空白,在這種情況下,authc 能夠查詢完整網域。如果在 config-server 位址中指定了 Base DN,請指定網域的 相對路徑(不包括基本 DN)。 |
| config-group-name-attr | 識別組名的屬性。例如,cn |
| config-group-object-class | 識別 LDAP 或 AD 階層中群組的物件類別。
|
| config-group-member-attr | 使用者在群組中的群組成員資格。
|
| config-user-search-filter | (選用)。NetWorker 驗證服務可用來在 LDAP 或 AD 階層中執行使用者搜尋的篩選器。RFC 2254 定義篩選格式。 |
| config-group-search-filter | (選用)。NetWorker 驗證服務可用來在 LDAP 或 AD 階層中執行群組搜尋的篩選器。RFC 2254 定義篩選格式。 |
| config-search-subtree | (選用)。指定外部授權單位是否應執行子樹搜尋的 是 或 否 值。 預設值: 無 |
| config-user-group-attr | (選用)。此選項支援在使用者物件屬性中識別使用者群組成員資格的組態。例如,針對 AD,請指定屬性成員。 |
| config-object-class | (選用)。外部驗證授權的物件類別。RFC 4512 定義物件類別。預設值:物件分類。 |
範例:
call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
填入腳本後,您可以從 NetWorker 伺服器上的命令列執行。
C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.
語法:nsrlogin -t tenant -d domain -u user
範例:
nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded
如果驗證成功,請在您的 NetWorker 伺服器上執行下列命令,收集 AD NetWorker/備份系統管理員群組的辨別名稱
(DN):
(DN):
語法:
authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name
範例:
authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
收集 NetWorker/備份系統管理員群組的 DN。
以預設的 NetWorker 系統管理員帳戶登入 NMC。在「Setup-- > Users and Roles-- > NMC Roles」下,將從上述步驟收集的 DN 群組 新增至該 AD 群組適當角色的「外部角色」欄位。完整系統管理員應具有「主控台應用程式管理員」和「主控台安全性管理員」角色。(如需這些角色的詳細資訊,請參閱《NetWorker 安全性組態指南》。)
以預設的 NetWorker 系統管理員帳戶登入 NMC。在「Setup-- > Users and Roles-- > NMC Roles」下,將從上述步驟收集的 DN 群組 新增至該 AD 群組適當角色的「外部角色」欄位。完整系統管理員應具有「主控台應用程式管理員」和「主控台安全性管理員」角色。(如需這些角色的詳細資訊,請參閱《NetWorker 安全性組態指南》。)
如此一來,您的 AD 使用者就可以登入和管理 NMC 主控台;但是,您必須在 NetWorker 伺服器上為這些使用者提供許可權。作為預設的 NetWorker 系統管理員帳戶,請連線至 NetWorker 伺服器。在「Server-- > User Groups」底下, 將 群組 DN 新增至該 AD 群組適當角色的「外部角色」欄位。完整系統管理員應具有「Application Administrators」和「Security Administrators」許可權。
將 AD 群組 DN 新增至 NMC 和 NetWorker 伺服器上的外部角色欄位後,嘗試使用您的 AD 帳戶登入 NMC。
登入 AD/LDAP 使用者名稱後,會出現在 NMC 的右上角:
其他資訊
受影響的產品
NetWorker產品
NetWorker, NetWorker Management Console文章屬性
文章編號: 000158322
文章類型: How To
上次修改時間: 18 3月 2025
版本: 7
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。