Zu den Hauptinhalten
Abmelden

Willkommen bei Dell

Mein Konto
  • Bestellungen schnell und einfach aufgeben
  • Bestellungen anzeigen und den Versandstatus verfolgen
  • Profitieren Sie von exklusiven Prämien und Rabatten für Mitglieder
  • Erstellen Sie eine Liste Ihrer Produkte, auf die Sie jederzeit zugreifen können.
Anmelden Konto erstellen Premier-Anmeldung Anmeldung beim Partnerprogramm
Kontakt

Ihr Warenkorb bei Dell.com

NetWorker: Як налаштувати автентифікацію AD/LDAP

Zusammenfassung: У цій базі даних наведено огляд того, як додати зовнішні повноваження до NetWorker за допомогою майстра зовнішніх повноважень NetWorker Management Console (NMC). Автентифікацію Active Directory (AD) або Linux LDAP можна використовувати разом із обліковим записом адміністратора NetWorker за замовчуванням або іншими локальними обліковими записами NMC. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

ПРИМІТКА: Для інтеграції AD over SSL слід використовувати веб-інтерфейс користувача NetWorker для налаштування зовнішнього органу. Дивіться NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI).

Увійдіть до консолі керування NetWorker (NMC) за допомогою облікового запису адміністратора NetWorker за замовчуванням. На вкладці Setup — User and Roles —> нова опція для External Authority.

 

Вікно налаштування консолі управління NetWorker для зовнішнього репозиторію
Ви все ще можете використовувати команди authc_config і authc_mgmt для надсилання запитів до конфігурацій, користувачів і груп AD/LDAP. однак рекомендується використовувати NMC для додавання AD/LDAP до NetWorker.
 
1) Щоб додати новий орган, клацнітьправою кнопкою миші у вікні External Authority і виберіть New.
2) У полі External Authentication Authority (Зовнішній центр автентифікації) необхідно заповнити обов'язкові поля інформацією про AD/LDAP.
3) Поставте галочку навпроти пункту "Показати додаткові параметри", щоб побачити всі поля
Тип сервера Виберіть LDAP, якщо сервером автентифікації є сервер LDAP Linux/UNIX, Active Directory, якщо ви використовуєте сервер Microsoft Active Directory.
Ім'я органу Укажіть ім'я цього зовнішнього центру автентифікації. Це ім'я може бути будь-яким, воно лише для того, щоб розрізняти інші органи, коли налаштовано кілька.
Ім'я сервера провайдера Це поле має містити повне доменне ім'я (FQDN) вашого сервера AD або LDAP.
Орендаря Клієнти можуть використовуватися в середовищах, де може використовуватися більше одного методу автентифікації та/або коли потрібно налаштувати кілька центрів. За замовчуванням вибрано клієнта «за замовчуванням». Використання орендарів змінює ваш спосіб входу. Коли використовується клієнт за замовчуванням, ви можете увійти в NMC за допомогою "domain\user", якщо використовується клієнт, відмінний від клієнта за замовчуванням, ви повинні вказати "tenant\domain\user" під час входу в NMC.
Домен Укажіть повне доменне ім'я (за винятком імені хоста). Зазвичай це базовий DN, який складається зі значень компонента домену (DC) вашого домену. 
Номер порту Для інтеграції LDAP і AD використовуйте порт 389. Для LDAP over SSL використовуйте порт 636. Ці порти не є портами за замовчуванням на сервері AD/LDAP.
DN користувача Укажіть відмітне ім'я (DN) облікового запису користувача, який має повний доступ до читання каталогу LDAP або AD.
Укажіть відносний DN облікового запису користувача або повний DN, якщо ви перевизначаєте значення, встановлене в полі Домен.
Пароль DN користувача Вкажіть пароль вказаного облікового запису користувача.
Клас Групового Об'єкта Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD.
  • Для LDAP використовуйте groupOfUniqueNames або groupOfNames
    • Примітка. Існують й інші класи об'єктів групи, окрім groupOfUniqueNames та groupOfNames.  Використовувати будь-який клас об'єкта, налаштований на сервері LDAP.
  • Для AD використовуйте group.
Шлях групового пошуку Це поле можна залишити порожнім, і в цьому випадку authc може надсилати запити до повного домену. Для доступу до сервера NMC/NetWorker повинні бути надані дозволи, перш ніж ці користувачі/групи зможуть увійти в NMC і керувати сервером NetWorker. Вкажіть відносний шлях до домену замість повного DN.
Атрибут назви групи Атрибут, який ідентифікує назву групи. Наприклад, кн.
Атрибут учасника групи Членство користувача в групі.
  • Для LDAP:
    • Якщо класом об'єкта Group є groupOfNames , атрибут зазвичай є членом.
    • Якщо класом об'єкта групи є groupOfUniqueNames , атрибутом зазвичай є uniquemember.
  •  Для AD значення зазвичай є членським.
Клас об'єкта користувача Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD.
Наприклад, inetOrgPerson або користувач
Шлях пошуку користувачів Як і Шлях групового пошуку, це поле можна залишити порожнім, у цьому випадку authc може надсилати запити до повного домену. Вкажіть відносний шлях до домену замість повного DN.
Атрибут ідентифікатора користувача Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD.
  • Для LDAP цим атрибутом, зазвичай, є uid.
  • Для AD цим атрибутом зазвичай є sAMAccountName.
Наприклад, інтеграція з Active Directory:
Майстер створення зовнішніх авторитетів
ПРИМІТКА: Проконсультуйтеся зі своїм адміністратором AD/LDAP, щоб дізнатися, які специфічні поля AD/LDAP потрібні для вашого середовища.
 
4) Після того, як всі поля будуть заповнені, натисніть ОК, щоб додати новий орган.
5) Ви можете використовувати команду authc_mgmt на вашому сервері NetWorker, щоб підтвердити, що групи/користувачі AD/LDAP видимі: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Наприклад: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМІТКА: У деяких системах команди authc можуть завершуватися помилкою «неправильний пароль», навіть якщо вказано правильний пароль. Це пов'язано з тим, що пароль вказано у вигляді видимого тексту з параметром "-p". Якщо ви зіткнулися з цим, видаліть "-p password" з команд. Вам буде запропоновано ввести пароль, прихований після виконання команди.
 
6) Увійшовши в NMC як обліковий запис адміністратора NetWorker за замовчуванням, відкрийте Setup - Users and Roles ->> NMC Roles. Відкрийте властивості ролі «Адміністратори консольних програм» і введіть у поле «Зовнішні ролі» поле «Визначне ім'я » (DN) групи AD/LDAP (зібране на кроці 5). Для користувачів, яким потрібні дозволи того ж рівня, що і обліковий запис NetWorker Administrator за замовчуванням, вам також потрібно буде вказати DN групи AD/LDAP у ролі «Адміністратори безпеки консолі». Для користувачів/груп, яким не потрібні права адміністратора на консоль NMC, додайте їх повний DN в полі "Користувач консолі" - зовнішні ролі.
 
ПРИМІТКА: За замовчуванням вже є DN групи LOCAL Administrators сервера NetWorker, НЕ видаляйте його.

7) Права доступу також повинні застосовуватися для кожного сервера NetWorker, налаштованого в NMC. Це можна зробити одним з двох способів:

Варіант 1)
Підключіть сервер NetWorker до NMC, відкрийте Server-->User Groups. Відкрийте властивості ролі «Адміністратори програм» і введіть у поле «Зовнішні ролі» відоме ім'я (DN) групи AD/LDAP (зібране на кроці 5). Для користувачів, яким потрібні дозволи того ж рівня, що і для облікового запису адміністратора NetWorker за замовчуванням, необхідно вказати DN групи AD/LDAP у ролі «Адміністратори безпеки».

ПРИМІТКА: За замовчуванням вже є DN групи LOCAL Administrators сервера NetWorker, НЕ видаляйте його.
 
Варіант 2)
Для користувачів/груп AD, яким ви хочете надати права адміністратора, команда nsraddadmin може бути запущена з командного рядка адміністратора або кореневого командного рядка на сервері NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
приклад:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) увійдіть до NMC за допомогою свого облікового запису AD/LDAP (наприклад, domain\user):
Приклад входу користувача NetWorker Management Console AD
Якщо використовувався клієнт, відмінний від клієнта за замовчуванням, його потрібно вказати перед доменом, наприклад: tenant\domain\user.
Рахунок, який використовується, буде показаний у верхньому правому куті. Користувач має можливість виконувати дії на основі ролей, призначених в NetWorker.

9) Якщо ви хочете, щоб група AD/LDAP могла керувати зовнішніми службами, ви повинні виконати наступне на сервері NetWorker.
a) Відкрийте адміністративний/кореневий командний рядок.
б) За допомогою DN групи AD (зібраної на кроці 5) потрібно надати FULL_CONTROL дозвіл на запуск: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Наприклад:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Weitere Informationen

NetWorker NWUI: Як налаштувати AD/LDAP за допомогою веб-інтерфейсу
користувача NetWorkerNetWorker: Як налаштувати LDAP/AD за допомогою сценаріїв
authc_configNetWorker: Як налаштувати розпізнавання LDAPS.

Betroffene Produkte

NetWorker

Produkte

NetWorker, NetWorker Management Console
Artikeleigenschaften
Artikelnummer: 000156107
Artikeltyp: How To
Zuletzt geändert: 10 Okt. 2023
Version:  8
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.