NetWorker. Настройка аутентификации AD/LDAP
Summary: В этой статье базы знаний представлен обзор добавления внешних полномочий к NetWorker с помощью мастера netWorker Management Console (NMC). Аутентификацию Active Directory (AD) или Linux LDAP можно использовать вместе с учетной записью администратора NetWorker по умолчанию или другими локальными учетными записями NMC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
ПРИМЕЧАНИЕ. Для интеграции AD over SSL следует использовать веб-интерфейс пользователя NetWorker для настройки внешних полномочий. См. Раздел NetWorker: Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI).
Войдите в консоль управления NetWorker Management Console (NMC) с учетной записью администратора NetWorker по умолчанию. На вкладке Setup (Настройка>) можно выбрать «User and Roles» (Пользователь и роли) и «External Authority» (Внешние полномочия).
Можно по-прежнему использовать команды authc_config и authc_mgmt для запроса конфигураций, пользователей и групп AD/LDAP. однако рекомендуется использовать NMC для добавления AD/LDAP в NetWorker.
1) Чтобы добавить новый полномочия,нажмите правой кнопкой мыши в окне Внешний орган и выберите Пункт Новый.
2) В поле External Authentication Authority (Внешний центр аутентификации) необходимо заполнить обязательные поля информацией об AD/LDAP.
3) Установите флажок «Показать дополнительные параметры», чтобы просмотреть все поля.
| Тип сервера | Выберите LDAP, если сервер аутентификации — это сервер LDAP Linux/UNIX или Active Directory, если используется сервер Microsoft Active Directory. |
| Имя полномочия | Укажите имя этого внешнего центра аутентификации. Это имя может быть любым, каким вы хотите быть. Следует только различать другие органы власти, когда настроено несколько экземпляров. |
| Имя сервера поставщика | Это поле должно содержать полное доменное имя (FQDN) сервера AD или LDAP. |
| Арендатор | Клиенты могут использоваться в средах, где можно использовать несколько методов аутентификации и/или когда необходимо настроить несколько центров. По умолчанию выбран клиент по умолчанию. Использование клиентов изменяет метод входа в систему. При использовании клиента по умолчанию можно войти в NMC с помощью «domain\user», если используется клиент, отличный от клиента по умолчанию, необходимо указать «tenant\domain\user» при входе в NMC. |
| Домен | Укажите полное имя домена (за исключением имени хоста). Как правило, это базовое доменное имя, которое состоит из значений компонента домена (DC) в вашем домене. |
| Номер порта | Для интеграции LDAP и AD используйте порт 389. Для LDAP over SSL используйте порт 636. Эти порты являются портами по умолчанию не NetWorker на сервере AD/LDAP. |
| Имя пользователя | Укажите различающееся имя учетной записи пользователя с полным доступом для чтения к каталогу LDAP или AD.При переопределите значение, заданное в поле Домен, укажите относительное доменное имя учетной записи пользователя или полное доменное имя. |
| Пароль DN пользователя | Укажите пароль указанной учетной записи пользователя. |
| Класс объекта группы | Класс объекта, который идентифицирует группы в иерархии LDAP или AD.
|
| Путь группового поиска | Это поле можно оставить пустым, в этом случае authc может запросить полный домен. Разрешения на доступ к серверу NMC/NetWorker должны быть предоставлены, прежде чем эти пользователи/группы смогут войти в NMC и управлять сервером NetWorker. Укажите относительный путь к домену, а не к полному домену. |
| Атрибут имени группы | Атрибут, который идентифицирует имя группы. Например, cn. |
| Атрибут члена группы | Членство пользователя в группе.
|
| Класс объекта пользователя | Класс объекта, который идентифицирует пользователей в иерархии LDAP или AD. Например, inetOrgPerson илипользователь |
| Путь к пользователю | Как и путь группового поиска, это поле может быть пустым, в этом случае authc может запросить полный домен. Укажите относительный путь к домену, а не к полному домену. |
| Атрибут идентификатора пользователя | Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD.
|
Например, интеграция Active Directory:
ПРИМЕЧАНИЕ. Обратитесь к администратору AD/LDAP, чтобы проверить, какие поля AD/LDAP необходимы для вашей среды.
4) После заполнения всех полей нажмите OK, чтобы добавить новый орган.
5) Можно использовать команду authc_mgmt на сервере NetWorker, чтобы убедиться, что группы/пользователи AD/LDAP отображаются:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Например,
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМЕЧАНИЕ. В некоторых системах команды authc могут не работать с ошибкой «неверный пароль», даже если задан правильный пароль. Это связано с тем, что пароль указывается как видимый текст с параметром «-p». Если вы столкнулись с этой ошибкой, удалите пароль «-p» из команд. После выполнения команды вам будет предложено ввести скрытый пароль.
имя (DN) группы AD/LDAP (собрано на шаге 5) в поле внешних ролей. Пользователям, которым требуются разрешения на тот же уровень, что и для учетной записи администратора NetWorker по умолчанию, также необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности консоли». Для пользователей /групп, которым не требуются права администратора в консоли NMC, добавьте полное доменное имя в «Console User» — внешние роли.
ПРИМЕЧАНИЕ. По умолчанию уже имеется доменное имя группы ЛОКАЛЬНЫХ администраторов сервера NetWorker. НЕ удаляйте это имя.
7) Разрешения на доступ также должны применяться для каждого сервера NetWorker, настроенного в NMC. Это можно сделать одним из двух способов:
вариант 1)
Подключите сервер NetWorker из NMC, откройте Server -->User Groups. Откройте свойства роли «Администраторы
приложений» и введите различающееся имя (DN) группы AD/LDAP (собрано на шаге 5) во внешнем поле ролей. Пользователям, которым требуются разрешения на тот же уровень, что и учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности».
приложений» и введите различающееся имя (DN) группы AD/LDAP (собрано на шаге 5) во внешнем поле ролей. Пользователям, которым требуются разрешения на тот же уровень, что и учетной записи администратора NetWorker по умолчанию, необходимо указать DN группы AD/LDAP в роли «Администраторы безопасности».
ПРИМЕЧАНИЕ. По умолчанию уже имеется доменное имя группы ЛОКАЛЬНЫХ администраторов сервера NetWorker. НЕ удаляйте это имя.
Вариант 2)
Для пользователей/групп AD, которым необходимо предоставить права администратора для команды nsraddadmin, можно выполнить из командной строки администратора или root на сервере NetWorker:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" Пример:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) Войдите в NMC с помощью учетной записи AD/LDAP (например, domain\user):
Если использовался клиент, отличный от клиента по умолчанию, его необходимо указать перед доменом, например: tenant\domain\user.
Используемая учетная запись будет отображаться в правом верхнем углу. Пользователь может выполнять действия в соответствии с ролями, назначенными в NetWorker.
9) Если требуется, чтобы группа AD/LDAP смогла управлять внешними средами, необходимо выполнить следующие действия на сервере NetWorker.
9) Если требуется, чтобы группа AD/LDAP смогла управлять внешними средами, необходимо выполнить следующие действия на сервере NetWorker.
а) Откройте командную строку администратора/пользователя root.
б) Используя DN группы AD (собранное на шаге 5), вы хотите предоставить FULL_CONTROL на выполнение:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Например,
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: Настройка AD/LDAP из веб-интерфейса NetWorker
Networker: Настройка LDAP/AD с помощью authc_config сценариев
Networker: Настройка аутентификации LDAPS.
Networker: Настройка LDAP/AD с помощью authc_config сценариев
Networker: Настройка аутентификации LDAPS.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000156107
Article Type: How To
Last Modified: 10 Oct 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.