NetWorker: Como configurar a autenticação do AD/LDAP
Summary: Este artigo da KB apresenta uma visão geral sobre como adicionar autoridade externa ao NetWorker usando o assistente de autoridade externa do NetWorker Management Console (NMC). A autenticação LDAP do Active Directory (AD) ou Linux pode ser usada junto com a conta padrão de administrador do NetWorker ou outras contas locais do NMC. ...
This article applies to
This article does not apply to
Instructions
Nota: Para integrações de AD sobre SSL, a interface do usuário web do NetWorker deve ser usada para configurar a autoridade externa. Consulte o NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI).
Faça log-in no NetWorker Management Console (NMC) com a conta padrão de administrador do NetWorker. Na guia Configuração-->Usuário e Funções, há uma nova opção para Autoridade Externa.
Você ainda pode usar os comandos authc_config e authc_mgmt para consultar configurações e usuários e grupos do AD/LDAP; No entanto, é recomendável usar o NMC para adicionar o AD/LDAP ao NetWorker.
1) Para adicionar uma nova autoridade,clique com o botão direito do mouse na janela Autoridade Externa e selecione Novo.
2) Na caixa Autoridade de autenticação externa, você deve preencher os campos obrigatórios com suas informações do AD/LDAP.
3) Marque a caixa "Mostrar opções avançadas" para ver todos os campos
| Tipo de servidor | Selecione LDAP se o servidor de autenticação for um servidor LDAP Linux/UNIX, Active Directory se você estiver usando um servidor do Microsoft Active Directory. |
| Nome da autoridade | Forneça um nome para essa autoridade de autenticação externa. Esse nome pode ser o que você quiser, mas é apenas para diferenciar entre outras autoridades quando várias estão configuradas. |
| Nome do servidor provedor | Este campo deve conter o FQDN (Fully Qualified Domain Name, nome do domínio completo) de seu servidor AD ou LDAP. |
| Inquilino | Os tenants podem ser usados em ambientes em que mais de um método de autenticação pode ser usado e/ou quando várias autoridades devem ser configuradas. Por padrão, o tenant "padrão" é selecionado. O uso de tenants altera seu método de log-in. Quando o tenant padrão é usado, você pode fazer log-in no NMC usando "domain\user" se um tenant diferente do tenant padrão for usado, você deverá especificar "tenant\domain\user" ao fazer log-in no NMC. |
| Domain | Especifique seu nome de domínio completo (excluindo um hostname). Normalmente, esse é o seu DN de base, que consiste nos valores do dc (Domain Component, componente de domínio) de seu domínio. |
| Número da porta | Para integração com LDAP e AD, use a porta 389. Para LDAP sobre SSL, use a porta 636. Essas portas não são portas padrão do NetWorker no servidor AD/LDAP. |
| User DN | Especifique o DN (Distinguished Name , nome distinto) de uma conta de usuário que tenha acesso completo de leitura ao diretório LDAP ou AD.Especifique o DN relativo da conta de usuário ou o DN completo se sobrepondo o valor definido no campo Domínio. |
| User DN Password | Especifique a senha da conta de usuário especificada. |
| Classe de objeto do grupo | A classe de objeto que identifica grupos na hierarquia LDAP ou AD.
|
| Caminho de pesquisa de grupo | Esse campo pode ser deixado em branco, caso em que o authc é capaz de consultar o domínio completo. As permissões devem ser concedidas para acesso ao servidor do NMC/NetWorker antes que esses usuários/grupos possam fazer log-in no NMC e gerenciar o servidor do NetWorker. Especifique o caminho relativo para o domínio em vez de DN completo. |
| Atributo de nome do grupo | O atributo que identifica o nome do grupo. Por exemplo, cn. |
| Atributo de membro do grupo | A lista de membros do grupo do usuário em um grupo.
|
| Classe de objeto do usuário | A classe de objeto que identifica os usuários na hierarquia LDAP ou AD. Por exemplo, inetOrgPerson ouusuário |
| Caminho de pesquisa do usuário | Como Caminho de pesquisa de grupo, esse campo pode ser deixado em branco, caso em que o authc é capaz de consultar o domínio completo. Especifique o caminho relativo para o domínio em vez de DN completo. |
| Atributo de ID do usuário | O ID do usuário associado ao objeto do usuário na hierarquia LDAP ou AD.
|
Por exemplo, integração do Active Directory:
Nota: Consulte seu administrador do AD/LDAP para confirmar quais campos específicos do AD/LDAP são necessários para seu ambiente.
4) Depois que todos os campos forem preenchidos, clique em OK para adicionar a nova autoridade.
5) Você pode usar o comando authc_mgmt em seu servidor do NetWorker para confirmar se os grupos/usuários do AD/LDAP estão visíveis:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Por exemplo:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
Nota: Em alguns sistemas, os comandos authc podem falhar com um erro de "senha incorreta", mesmo quando a senha correta é fornecida. Isso ocorre porque a senha está sendo especificada como texto visível com a opção "-p". Se você encontrar isso, remova "-p password" dos comandos. Você será solicitado a digitar a senha oculta depois de executar o comando.
e digite o nome distinto (DN) de um grupo do AD/LDAP (coletado na etapa 5) no campo de funções externas. Para os usuários que exigem as mesmas permissões de nível que a conta padrão de administrador do NetWorker, você também precisará especificar o DN do grupo AD/LDAP na função "Console Security Administrators". Para usuários/grupos que não precisam de direitos administrativos ao Console do NMC, adicione seu DN completo nas funções externas "Console User" (Usuário do console).
Nota: Por padrão, já existe o DN do grupo de administradores LOCAIS do servidor do NetWorker, NÃO exclua isso.
7) As permissões de acesso também devem ser aplicadas por servidor do NetWorker configurado no NMC. Isso pode ser feito de duas maneiras:
opção 1)
Conecte o servidor do NetWorker a partir do NMC, abra Server-->User Groups. Abra as propriedades da função "Administradores de aplicativos" 
e digite o nome distinto (DN) de um grupo do AD/LDAP (coletado na etapa 5) no campo Funções externas. Para os usuários que exigem as mesmas permissões de nível que a conta padrão de administrador do NetWorker, você deve especificar o DN do grupo AD/LDAP na função "Administradores de segurança".
e digite o nome distinto (DN) de um grupo do AD/LDAP (coletado na etapa 5) no campo Funções externas. Para os usuários que exigem as mesmas permissões de nível que a conta padrão de administrador do NetWorker, você deve especificar o DN do grupo AD/LDAP na função "Administradores de segurança".
Nota: Por padrão, já existe o DN do grupo de administradores LOCAIS do servidor do NetWorker, NÃO exclua isso.
Opção 2)
Para usuários/grupos do AD, você deseja conceder direitos de administrador ao comando nsraddadmin pode ser executado a partir de um prompt de comando admin ou root no servidor do NetWorker:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" exemplo:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) faça log-in no NMC usando sua conta do AD/LDAP (por exemplo: domain\user):
Se um tenant diferente do tenant padrão tiver sido usado, você deverá especificá-lo antes do domínio, por exemplo: tenant\domain\user.
A conta usada será exibida no canto superior direito. O usuário pode executar ações com base nas funções atribuídas ao NetWorker.
9) Se você quiser que um grupo do AD/LDAP seja capaz de gerenciar autoridades externas, siga estas etapas no servidor do NetWorker.
9) Se você quiser que um grupo do AD/LDAP seja capaz de gerenciar autoridades externas, siga estas etapas no servidor do NetWorker.
a) Abra um prompt de comando administrativo/root.
b) Usando o DN do grupo do AD (coletado na etapa 5), você deseja conceder FULL_CONTROL permissão para executar:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Por exemplo:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NWUI do NetWorker: Como configurar o AD/LDAP a partir da interface do usuário da Web do
NetWorkerNetworker: Como configurar o LDAP/AD usando authc_config scripts
Networker: Como configurar a autenticação LDAPS.
NetWorkerNetworker: Como configurar o LDAP/AD usando authc_config scripts
Networker: Como configurar a autenticação LDAPS.