NetWorker: Konfigurowanie uwierzytelniania AD/LDAP
Summary: Ten artykuł bazy wiedzy zawiera omówienie sposobu dodawania zewnętrznego upoważnienia do NetWorker przy użyciu kreatora zewnętrznego użytkownika konsoli zarządzania NetWorker Management Console (NMC). Uwierzytelnianie Active Directory (AD) lub Linux LDAP może być używane obok domyślnego konta administratora NetWorker lub innych lokalnych kont NMC. ...
This article applies to
This article does not apply to
Instructions
UWAGA: W przypadku integracji AD over SSL należy użyć interfejsu sieciowego użytkownika NetWorker do skonfigurowania zewnętrznego upoważnienia. Zobacz NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu interfejsu użytkownika Sieci NetWorker (NWUI).
Zaloguj się do konsoli NetWorker Management Console (NMC) przy użyciu domyślnego konta administratora NetWorker. Na karcie Setup (Konfiguracja) —> User (Użytkownik) i Roles (Role) dostępna jest nowa opcja dla zewnętrznego podmiotu.
Nadal można używać poleceń authc_config i authc_mgmt do badania konfiguracji oraz użytkowników i grup AD/LDAP; zaleca się jednak użycie NMC w celu dodania AD/LDAP do NetWorker.
1) Aby dodać nowy urząd, kliknij prawym przyciskiem myszy w oknie Urząd zewnętrzny i wybierz opcję Nowy.
2) W polu Zewnętrzny urząd uwierzytelniania należy wypełnić wymagane pola informacjami AD/LDAP.
3) Zaznacz pole "Pokaż opcje zaawansowane", aby wyświetlić wszystkie pola
| Typ serwera | Wybierz LDAP, jeśli serwer uwierzytelniania jest serwerem LDAP Linux/UNIX, Active Directory, jeśli używasz serwera Microsoft Active Directory. |
| Nazwa urzędu | Podaj nazwę tego zewnętrznego urzędu uwierzytelniania. Nazwa ta może być dowolna. Ma na celu jedynie odróżnienie innych urzędów po skonfigurowaniu wielu. |
| Nazwa serwera dostawcy | To pole powinno zawierać w pełni kwalifikowaną nazwę domeny (FQDN) serwera AD lub LDAP. |
| Dzierżawy | Dzierżawców można używać w środowiskach, w których można użyć więcej niż jednej metody uwierzytelniania i/lub gdy należy skonfigurować wiele urzędów. Domyślnie wybrany jest dzierżawca "domyślny". Korzystanie z dzierżawców zmienia metodę logowania. Gdy używany jest dzierżawca domyślny, można zalogować się do NMC przy użyciu "domain\user", jeśli używany jest dzierżawca inny niż domyślny dzierżawca, należy określić "tenant\domain\user" podczas logowania się do NMC. |
| Domena | Określ pełną nazwę domeny (z wyłączeniem nazwy hosta). Zazwyczaj jest to podstawowa nazwa domeny składająca się z wartości składnika domeny (DC) domeny. |
| Numer portu | W przypadku integracji LDAP i AD użyj portu 389. W przypadku protokołu LDAP przez SSL użyj portu 636. Porty te są domyślnie portami innych niż NetWorker na serwerze AD/LDAP. |
| Nazwa domeny użytkownika | Określ nazwę  wyróżniającą (DN) konta użytkownika, które ma pełny dostęp do odczytu do katalogu LDAP lub AD.Określ względną nazwę domeny konta użytkownika lub pełną nazwę domeny, jeśli nadmień wartość ustawioną w polu Domena. |
| Hasło DN użytkownika | Określ hasło do określonego konta użytkownika. |
| Klasa obiektów grupy | Klasę obiektów identyfikującą grupy w hierarchii LDAP lub AD.
|
| Ścieżka wyszukiwania grupy | To pole może pozostać puste, w którym to przypadku authc może wysyłać kwerendy do całej domeny. Przed zalogowaniem się użytkowników/grup do NMC i zarządzaniem serwerem NetWorker należy przyznać uprawnienia dostępu do serwera NMC/NetWorker. Określ ścieżkę względną do domeny zamiast pełnej nazwy domeny. |
| Atrybut nazwy grupy | Atrybut identyfikujący nazwę grupy. Na przykład cn. |
| Atrybut członka grupy | Członkostwo w grupie użytkowników w grupie.
|
| Klasa obiektów użytkownika | Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD. Na przykład inetOrgPerson lub użytkownik |
| Ścieżka wyszukiwania użytkownika | Podobnie jak ścieżka wyszukiwania grupy, to pole może pozostać puste, w którym to przypadku authc może sprawdzać całą domenę. Określ ścieżkę względną do domeny zamiast pełnej nazwy domeny. |
| Atrybut identyfikatora użytkownika | Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD.
|
Na przykład integracja z active directory:
UWAGA: Skontaktuj się z administratorem AD/LDAP, aby potwierdzić, które pola AD/LDAP są potrzebne w danym środowisku.
4) Po wypełnieniu wszystkich pól kliknij przycisk OK, aby dodać nowy urząd.
5) Można użyć polecenia authc_mgmt na serwerze NetWorker, aby upewnić się, że grupy/użytkownicy AD/LDAP są widoczne:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Np.:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
UWAGA: W niektórych systemach polecenia authc mogą przestać działać z błędem "nieprawidłowego hasła", nawet jeśli podano prawidłowe hasło. Wynika to z tego, że hasło jest określane jako widoczny tekst z opcją "-p". W przypadku wystąpienia tego problemu usuń hasło "-p" z poleceń. Po uruchomieniu polecenia zostanie wyświetlony monit o wprowadzenie hasła ukrytego.
wyróżniającą grupy AD/LDAP (zebranej w kroku 5) w polu role zewnętrzne. W przypadku użytkowników, którzy wymagają tych samych uprawnień co domyślne konto administratora NetWorker, należy również określić nazwę nazwy DN grupy AD/LDAP w roli "Console Security Administrators". W przypadku użytkowników /grup, którzy nie potrzebują uprawnień administracyjnych do konsoli NMC, dodaj pełną numer DN w sekcji "Użytkownik konsoli" — role zewnętrzne.
UWAGA: Domyślnie istnieje już nazwa DN grupy administratorzy LOKALNI serwera NetWorker. NIE NALEŻY tego usuwać.
7) Należy również zastosować uprawnienia dostępu do serwera NetWorker skonfigurowanego w NMC. Można to zrobić na jeden z dwóch sposobów:
opcja 1)
Podłącz serwer NetWorker z NMC, otwórz grupy użytkowników serwera>. Otwórz właściwości roli "Administratorzy aplikacji" i wprowadź nazwę
wyróżniającą grupy AD/LDAP (zebranej w kroku 5) w polu role zewnętrzne. W przypadku użytkowników, którzy wymagają tych samych uprawnień co domyślne konto administratora NetWorker, należy określić nazwę DN grupy AD/LDAP w roli "Security Administrators".
wyróżniającą grupy AD/LDAP (zebranej w kroku 5) w polu role zewnętrzne. W przypadku użytkowników, którzy wymagają tych samych uprawnień co domyślne konto administratora NetWorker, należy określić nazwę DN grupy AD/LDAP w roli "Security Administrators".
UWAGA: Domyślnie istnieje już nazwa DN grupy administratorzy LOKALNI serwera NetWorker. NIE NALEŻY tego usuwać.
Opcja 2)
W przypadku użytkowników/grup AD, którym chcesz przyznać uprawnienia administratora do polecenia nsraddadmin, można uruchomić z poziomu wiersza poleceń administratora lub głównego na serwerze NetWorker:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" Przykład:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) Zaloguj się do NMC przy użyciu konta AD/LDAP (np. domena\użytkownik):
Jeśli użyto dzierżawcy innego niż domyślny dzierżawca, należy określić go przed domeną, np. dzierżawca\domena\użytkownik.
Używane konto zostanie wyświetlone w prawym górnym rogu. Użytkownik ma możliwość wykonywania czynności na podstawie ról przypisanych w programie NetWorker.
9) Aby grupa AD/LDAP mogła zarządzać urzędami zewnętrznymi, należy wykonać następujące czynności na serwerze NetWorker.
9) Aby grupa AD/LDAP mogła zarządzać urzędami zewnętrznymi, należy wykonać następujące czynności na serwerze NetWorker.
a) Otwórz wiersz polecenia administratora/głównego.
b) Korzystając z nazwy DN grupy AD (zebranej w kroku 5), chcesz przyznać FULL_CONTROL uprawnienia do uruchomienia:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Np.:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: Jak skonfigurować usługę AD/LDAP z poziomu sieciowego interfejsu
użytkownika NetWorkerNetworker: Konfigurowanie protokołu LDAP/AD przy użyciu skryptów
authc_configNetworker: Jak skonfigurować uwierzytelnianie LDAPS.
użytkownika NetWorkerNetworker: Konfigurowanie protokołu LDAP/AD przy użyciu skryptów
authc_configNetworker: Jak skonfigurować uwierzytelnianie LDAPS.