Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

NetWorker : Configuration de l’authentification AD/LDAP

Summary: Cet article de la base de connaissances fournit une vue d’ensemble de la façon d’ajouter une autorité externe à NetWorker à l’aide de l’Assistant d’autorité externe de NetWorker Management Console (NMC). L’authentification Active Directory (AD) ou Linux LDAP peut être utilisée avec le compte administrateur NetWorker par défaut ou d’autres comptes NMC locaux. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Remarque : Pour les intégrations AD sur SSL, l’interface utilisateur Web netWorker doit être utilisée pour configurer l’autorité externe. Voir NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI).

Connectez-vous à NetWorker Management Console (NMC) avec le compte Administrateur NetWorker par défaut. Sous l’onglet Configuration :> User and Roles, il existe une nouvelle option pour External Authority.

 

Fenêtre de configuration de NetWorker Management Console pour le référentiel d’autorité externe
Vous pouvez toujours utiliser les commandes authc_config et authc_mgmt pour interroger les configurations et les utilisateurs et groupes AD/LDAP. Toutefois, il est recommandé d’utiliser NMC pour ajouter AD/LDAP à NetWorker.
 
1) Pour ajouter une nouvelle autorité, cliquez avec le bouton droit de la souris dans la fenêtre External Authority et sélectionnez New.
2) Dans la zone Autorité d’authentification externe, vous devez renseigner les champs requis avec vos informations AD/LDAP.
3) Cochez la case « Show Advanced Options » (Afficher les options avancées) pour afficher tous les champs
Type de serveur Sélectionnez LDAP si le serveur d’authentification est un serveur Linux/UNIX LDAP, Active Directory si vous utilisez un serveur Microsoft Active Directory.
Nom de l’autorité Indiquez un nom pour cette autorité d’authentification externe. Ce nom peut être celui que vous souhaitez qu’il soit, il ne sert qu’à faire la distinction entre les autres autorités lorsque plusieurs sont configurés.
Nom du serveur du fournisseur Ce champ doit contenir le nom de domaine complet (FQDN) de votre serveur AD ou LDAP.
Locataire Les tenants peuvent être utilisés dans des environnements où plusieurs méthodes d’authentification peuvent être utilisées et/ou lorsque plusieurs autorités doivent être configurées. Par défaut, le tenant « default » est sélectionné. L’utilisation de tenants modifie votre méthode de connexion. Lorsque le tenant par défaut est utilisé, vous pouvez vous connecter à NMC à l’aide de « domain\user » si un tenant autre que le tenant par défaut est utilisé, vous devez spécifier « tenant\domain\user » lors de la connexion à NMC.
Domaine Spécifiez votre nom de domaine complet (à l’exception d’un nom d’hôte). En général, il s’agit de votre nom unique de base qui est composé de vos valeurs de composant de domaine (DC) de votre domaine. 
Numéro de port Pour l’intégration LDAP et AD, utilisez le port 389. Pour LDAP sur SSL, utilisez le port 636. Ces ports ne sont pas des ports par défaut NetWorker sur le serveur AD/LDAP.
DN d’utilisateur Spécifiez le nom unique (DN) d’un compte utilisateur disposant d’un accès en lecture complet à l’annuaire LDAP ou AD.
Spécifiez le nom unique relatif du compte d’utilisateur ou le nom unique complet en cas de remplacement de la valeur définie dans le champ Domaine.
Mot de passe DN d’utilisateur Spécifiez le mot de passe du compte utilisateur spécifié.
Classe d’objets de groupe Classe d’objets qui identifie les groupes dans la hiérarchie LDAP ou AD.
  • Pour LDAP, utilisez groupOfUniqueNames ou groupOfNames
    • Remarque : Il existe d’autres classes d’objets de groupe à part groupOfUniqueNames et groupOfNames.  Utilisez la classe d’objets configurée sur le serveur LDAP.
  • Pour AD, utilisez le groupe.
Chemin de recherche de groupe Ce champ peut être laissé vide, auquel cas authc est capable d’interroger le domaine complet. Les autorisations doivent être accordées pour l’accès au serveur NMC/NetWorker pour que ces utilisateurs/groupes puissent se connecter à NMC et gérer le serveur NetWorker. Spécifiez le chemin relatif du domaine au lieu du nom unique complet.
Attribut de nom de groupe Attribut qui identifie le nom du groupe. Par exemple, cn.
Attribut du membre du groupe Appartenance à un groupe de l’utilisateur au sein d’un groupe.
  • Pour LDAP :
    • Lorsque group Object Class est groupOfNames , l’attribut est généralement membre.
    • Lorsque group Object Class est groupOfUniqueNames , l’attribut est généralement uniquemember.
  •  Pour AD, la valeur est généralement membre.
Classe d’objets utilisateur Classe d’objets qui identifie les utilisateurs dans la hiérarchie LDAP ou AD.
Par exemple, inetOrgPerson ou user
Chemin de recherche utilisateur À l’instar du chemin de recherche de groupe, ce champ peut être laissé vide, auquel cas authc est capable d’interroger le domaine complet. Spécifiez le chemin relatif du domaine au lieu du nom unique complet.
Attribut iD utilisateur ID utilisateur associé à l’objet utilisateur dans la hiérarchie LDAP ou AD.
  • Pour LDAP, cet attribut est généralement uid.
  • Pour AD, cet attribut est généralement sAMAccountName.
Par exemple, intégration Active Directory :
Assistant création d’autorité externe
Remarque : Consultez votre administrateur AD/LDAP pour confirmer quels champs AD/LDAP spécifiques sont nécessaires pour votre environnement.
 
4) Une fois que tous les champs sont renseignés, cliquez sur OK pour ajouter la nouvelle autorité.
5) Vous pouvez utiliser la commande authc_mgmt sur votre serveur NetWorker pour confirmer que les groupes/utilisateurs AD/LDAP sont visibles :
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Par exemple :
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

Remarque : Sur certains systèmes, les commandes authc peuvent échouer avec une erreur de « mot de passe incorrect », même lorsque le mot de passe correct est donné. Cela est dû au fait que le mot de passe est spécifié en tant que texte visible avec l’option « -p ». Si vous rencontrez cette erreur, supprimez « -p password » des commandes. Vous serez invité à saisir le mot de passe masqué après l’exécution de la commande.
 
6) Lorsque vous êtes connecté au NMC en tant que compte d’administrateur NetWorker par défaut, ouvrez Setup :->Users and Roles-->NMC Roles. Ouvrez les propriétés du rôle « Administrateurs d’applications de console » et saisissez le nom unique (DN) d’un groupe AD/LDAP (collecté à l’étape 5) dans le champ Rôles externes. Pour les utilisateurs qui ont besoin des mêmes autorisations de niveau que le compte administrateur NetWorker par défaut, vous devez également spécifier le nom unique du groupe AD/LDAP dans le rôle « Administrateurs de sécurité de la console ». Pour les utilisateurs/groupes qui n’ont pas besoin de droits d’administration sur la console NMC, ajoutez leur nom unique complet dans les rôles « Utilisateur de la console » (rôles externes).
 
Remarque : Par défaut, il existe déjà le nom unique du groupe d’administrateurs LOCAUX du serveur NetWorker. Ne supprimez PAS cette option.

7) Les autorisations d’accès doivent également être appliquées par serveur NetWorker configuré dans NMC. Cette opération peut être effectuée de l’une des deux manières suivantes :

option 1)
Connectez le serveur NetWorker à partir de NMC, ouvrez Server-->User Groups. Ouvrez les propriétés du rôle « Administrateurs d’applications » et saisissez le nom unique (DN) d’un groupe AD/LDAP (collecté à l’étape 5) dans le champ Rôles externes. Pour les utilisateurs qui ont besoin des mêmes autorisations de niveau que le compte administrateur NetWorker par défaut, vous devez spécifier le nom unique du groupe AD/LDAP dans le rôle « Administrateurs de sécurité ».

Remarque : Par défaut, il existe déjà le nom unique du groupe d’administrateurs LOCAUX du serveur NetWorker. Ne supprimez PAS cette option.
 
Option 2)
Pour les utilisateurs/groupes AD que vous souhaitez accorder des droits d’administrateur à la commande nsraddadmin, vous pouvez exécuter à partir d’une invite de commande admin ou root sur le serveur NetWorker :
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
exemple : 
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) Connectez-vous au NMC à l’aide de votre compte AD/LDAP (par exemple : domaine\utilisateur) :
Exemple de connexion utilisateur AD netWorker Management Console
Si un tenant autre que le tenant par défaut a été utilisé, vous devez le spécifier avant le domaine, par exemple : tenant\domain\user.
Le compte utilisé s’affiche dans l’angle supérieur droit. L’utilisateur a la possibilité d’effectuer des actions en fonction des rôles attribués dans NetWorker.

9) Si vous souhaitez qu’un groupe AD/LDAP puisse gérer les autorités externes, vous devez effectuer les opérations suivantes sur le serveur NetWorker.
a) Ouvrez une invite de commande administrative/racine.
b) À l’aide du nom unique du groupe AD (collecté à l’étape 5), vous souhaitez accorder FULL_CONTROL’autorisation d’exécution :
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Par exemple : 
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000156107
Article Type: How To
Last Modified: 10 Oct 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.