Zu den Hauptinhalten
Abmelden

Willkommen bei Dell

Mein Konto
  • Bestellungen schnell und einfach aufgeben
  • Bestellungen anzeigen und den Versandstatus verfolgen
  • Profitieren Sie von exklusiven Prämien und Rabatten für Mitglieder
  • Erstellen Sie eine Liste Ihrer Produkte, auf die Sie jederzeit zugreifen können.
Anmelden Konto erstellen Premier-Anmeldung Anmeldung beim Partnerprogramm
Kontakt

Ihr Warenkorb bei Dell.com

NetWorker: Konfigurowanie uwierzytelniania AD/LDAP

Zusammenfassung: Ten artykuł bazy wiedzy zawiera omówienie sposobu dodawania zewnętrznego upoważnienia do NetWorker przy użyciu kreatora zewnętrznego użytkownika konsoli zarządzania NetWorker Management Console (NMC). Uwierzytelnianie Active Directory (AD) lub Linux LDAP może być używane obok domyślnego konta administratora NetWorker lub innych lokalnych kont NMC. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

UWAGA: W przypadku integracji AD over SSL należy użyć interfejsu sieciowego użytkownika NetWorker do skonfigurowania zewnętrznego upoważnienia. Zobacz NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu interfejsu użytkownika Sieci NetWorker (NWUI).

Zaloguj się do konsoli NetWorker Management Console (NMC) przy użyciu domyślnego konta administratora NetWorker. Na karcie Setup (Konfiguracja) —> User (Użytkownik) i Roles (Role) dostępna jest nowa opcja dla zewnętrznego podmiotu.

 

Okno konfiguracji konsoli zarządzania NetWorker dla repozytorium uprawnień zewnętrznych
Nadal można używać poleceń authc_config i authc_mgmt do badania konfiguracji oraz użytkowników i grup AD/LDAP; zaleca się jednak użycie NMC w celu dodania AD/LDAP do NetWorker.
 
1) Aby dodać nowy urząd, kliknij prawym przyciskiem myszy w oknie Urząd zewnętrzny i wybierz opcję Nowy.
2) W polu Zewnętrzny urząd uwierzytelniania należy wypełnić wymagane pola informacjami AD/LDAP.
3) Zaznacz pole "Pokaż opcje zaawansowane", aby wyświetlić wszystkie pola
Typ serwera Wybierz LDAP, jeśli serwer uwierzytelniania jest serwerem LDAP Linux/UNIX, Active Directory, jeśli używasz serwera Microsoft Active Directory.
Nazwa urzędu Podaj nazwę tego zewnętrznego urzędu uwierzytelniania. Nazwa ta może być dowolna. Ma na celu jedynie odróżnienie innych urzędów po skonfigurowaniu wielu.
Nazwa serwera dostawcy To pole powinno zawierać w pełni kwalifikowaną nazwę domeny (FQDN) serwera AD lub LDAP.
Dzierżawy Dzierżawców można używać w środowiskach, w których można użyć więcej niż jednej metody uwierzytelniania i/lub gdy należy skonfigurować wiele urzędów. Domyślnie wybrany jest dzierżawca "domyślny". Korzystanie z dzierżawców zmienia metodę logowania. Gdy używany jest dzierżawca domyślny, można zalogować się do NMC przy użyciu "domain\user", jeśli używany jest dzierżawca inny niż domyślny dzierżawca, należy określić "tenant\domain\user" podczas logowania się do NMC.
Domena Określ pełną nazwę domeny (z wyłączeniem nazwy hosta). Zazwyczaj jest to podstawowa nazwa domeny składająca się z wartości składnika domeny (DC) domeny. 
Numer portu W przypadku integracji LDAP i AD użyj portu 389. W przypadku protokołu LDAP przez SSL użyj portu 636. Porty te są domyślnie portami innych niż NetWorker na serwerze AD/LDAP.
Nazwa domeny użytkownika Określ nazwę  wyróżniającą (DN) konta użytkownika, które ma pełny dostęp do odczytu do katalogu LDAP lub AD.
Określ względną nazwę domeny konta użytkownika lub pełną nazwę domeny, jeśli nadmień wartość ustawioną w polu Domena.
Hasło DN użytkownika Określ hasło do określonego konta użytkownika.
Klasa obiektów grupy Klasę obiektów identyfikującą grupy w hierarchii LDAP lub AD.
  • W przypadku protokołu LDAP należy użyć groupOfUniqueNames lub groupOfNames
    • Uwaga: Istnieją inne klasy obiektów grupy oprócz grupOfUniqueNames i groupOfNames.  Użyj dowolnej klasy obiektów skonfigurowanych na serwerze LDAP.
  • W przypadku AD należy użyć grupy.
Ścieżka wyszukiwania grupy To pole może pozostać puste, w którym to przypadku authc może wysyłać kwerendy do całej domeny. Przed zalogowaniem się użytkowników/grup do NMC i zarządzaniem serwerem NetWorker należy przyznać uprawnienia dostępu do serwera NMC/NetWorker. Określ ścieżkę względną do domeny zamiast pełnej nazwy domeny.
Atrybut nazwy grupy Atrybut identyfikujący nazwę grupy. Na przykład cn.
Atrybut członka grupy Członkostwo w grupie użytkowników w grupie.
  • W przypadku protokołu LDAP:
    • Kiedy klasa obiektów grupy to groupOfNames , atrybut jest powszechnie elementem członkowskim.
    • Gdy klasa obiektu grupy to groupOfUniqueNames , atrybut jest zazwyczaj unikatowy.
  •  W przypadku AD wartość jest powszechnie członkiem.
Klasa obiektów użytkownika Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD.
Na przykład inetOrgPerson lub użytkownik
Ścieżka wyszukiwania użytkownika Podobnie jak ścieżka wyszukiwania grupy, to pole może pozostać puste, w którym to przypadku authc może sprawdzać całą domenę. Określ ścieżkę względną do domeny zamiast pełnej nazwy domeny.
Atrybut identyfikatora użytkownika Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD.
  • W przypadku protokołu LDAP ten atrybut jest powszechnie uid.
  • W przypadku AD ten atrybut jest zazwyczaj nazwą sAMAccountName.
Na przykład integracja z active directory:
Kreator tworzenia zewnętrznego upoważnienia
UWAGA: Skontaktuj się z administratorem AD/LDAP, aby potwierdzić, które pola AD/LDAP są potrzebne w danym środowisku.
 
4) Po wypełnieniu wszystkich pól kliknij przycisk OK, aby dodać nowy urząd.
5) Można użyć polecenia authc_mgmt na serwerze NetWorker, aby upewnić się, że grupy/użytkownicy AD/LDAP są widoczne: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Np.: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
UWAGA: W niektórych systemach polecenia authc mogą przestać działać z błędem "nieprawidłowego hasła", nawet jeśli podano prawidłowe hasło. Wynika to z tego, że hasło jest określane jako widoczny tekst z opcją "-p". W przypadku wystąpienia tego problemu usuń hasło "-p" z poleceń. Po uruchomieniu polecenia zostanie wyświetlony monit o wprowadzenie hasła ukrytego.
 
6) Po zalogowaniu się do NMC jako domyślnego konta administratora NetWorker otwórz okno Setup-->Users and Roles-->NMC Roles. Otwórz właściwości roli "Console Application Administrators" i wprowadź nazwę wyróżniającą grupy AD/LDAP (zebranej w kroku 5) w polu role zewnętrzne. W przypadku użytkowników, którzy wymagają tych samych uprawnień co domyślne konto administratora NetWorker, należy również określić nazwę nazwy DN grupy AD/LDAP w roli "Console Security Administrators". W przypadku użytkowników /grup, którzy nie potrzebują uprawnień administracyjnych do konsoli NMC, dodaj pełną numer DN w sekcji "Użytkownik konsoli" — role zewnętrzne.
 
UWAGA: Domyślnie istnieje już nazwa DN grupy administratorzy LOKALNI serwera NetWorker. NIE NALEŻY tego usuwać.

7) Należy również zastosować uprawnienia dostępu do serwera NetWorker skonfigurowanego w NMC. Można to zrobić na jeden z dwóch sposobów:

opcja 1)
Podłącz serwer NetWorker z NMC, otwórz grupy użytkowników serwera>. Otwórz właściwości roli "Administratorzy aplikacji" i wprowadź nazwę wyróżniającą grupy AD/LDAP (zebranej w kroku 5) w polu role zewnętrzne. W przypadku użytkowników, którzy wymagają tych samych uprawnień co domyślne konto administratora NetWorker, należy określić nazwę DN grupy AD/LDAP w roli "Security Administrators".

UWAGA: Domyślnie istnieje już nazwa DN grupy administratorzy LOKALNI serwera NetWorker. NIE NALEŻY tego usuwać.
 
Opcja 2)
W przypadku użytkowników/grup AD, którym chcesz przyznać uprawnienia administratora do polecenia nsraddadmin, można uruchomić z poziomu wiersza poleceń administratora lub głównego na serwerze NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
Przykład:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) Zaloguj się do NMC przy użyciu konta AD/LDAP (np. domena\użytkownik):
Przykład logowania użytkownika AD konsoli zarządzania NetWorker
Jeśli użyto dzierżawcy innego niż domyślny dzierżawca, należy określić go przed domeną, np. dzierżawca\domena\użytkownik.
Używane konto zostanie wyświetlone w prawym górnym rogu. Użytkownik ma możliwość wykonywania czynności na podstawie ról przypisanych w programie NetWorker.

9) Aby grupa AD/LDAP mogła zarządzać urzędami zewnętrznymi, należy wykonać następujące czynności na serwerze NetWorker.
a) Otwórz wiersz polecenia administratora/głównego.
b) Korzystając z nazwy DN grupy AD (zebranej w kroku 5), chcesz przyznać FULL_CONTROL uprawnienia do uruchomienia: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Np.:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Weitere Informationen

NetWorker NWUI: Jak skonfigurować usługę AD/LDAP z poziomu sieciowego interfejsu
użytkownika NetWorkerNetworker: Konfigurowanie protokołu LDAP/AD przy użyciu skryptów
authc_configNetworker: Jak skonfigurować uwierzytelnianie LDAPS.

Betroffene Produkte

NetWorker

Produkte

NetWorker, NetWorker Management Console
Artikeleigenschaften
Artikelnummer: 000156107
Artikeltyp: How To
Zuletzt geändert: 10 Okt. 2023
Version:  8
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.