NetWorker: Sådan konfigureres AD/LDAP-godkendelse
Summary: Denne KB giver et overblik over, hvordan du føjer ekstern myndighed til NetWorker ved hjælp af Guiden til ekstern myndighed i NetWorker Management Console (NMC). Active Directory -godkendelse (AD) eller Linux LDAP-godkendelse kan bruges sammen med NetWorker-standardadministratorkontoen eller andre lokale NMC-konti. ...
This article applies to
This article does not apply to
Instructions
BEMÆRK: Til AD over SSL-integrationer skal NetWorker-webbrugergrænsefladen bruges til at konfigurere den eksterne myndighed. Se NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI).
Log på NetWorker Management Console (NMC) med networker-standardadministratorkontoen. Under fanen Opsætning -> Bruger og Roller er der en ny indstilling for Ekstern myndighed.
Du kan stadig bruge authc_config- og authc_mgmt-kommandoer til forespørgende konfigurationer og AD/LDAP-brugere og -grupper. det anbefales dog at bruge NMC til at tilføje AD/LDAP til NetWorker.
1) Hvis du vil tilføje en ny myndighed,skal du højreklikke på vinduet Ekstern myndighed og vælge Ny.
2) I feltet External Authentication Authority skal du udfylde de obligatoriske felter med dine AD/LDAP-oplysninger.
3) Marker afkrydsningsfeltet "Vis avancerede indstillinger" for at se alle felterne
| Servertype | Vælg LDAP, hvis godkendelsesserveren er en Linux/UNIX LDAP-server, Active Directory, hvis du bruger en Microsoft Active Directory-server. |
| Myndighedsnavn | Angiv et navn til denne eksterne godkendelsesmyndighed. Dette navn kan være, hvad du ønsker, det skal være, det er kun at skelne mellem andre myndigheder, når flere er konfigureret. |
| Udbyderservernavn | Dette felt skal indeholde det fuldt kvalificerede domænenavn (FQDN) for din AD- eller LDAP-server. |
| Lejer | Lejere kan bruges i miljøer, hvor mere end én godkendelsesmetode kan bruges, og/eller når flere myndigheder skal konfigureres. Som standard er lejeren "standard" valgt. Brugen af lejere ændrer din loginmetode. Når standardlejer anvendes, kan du logge på NMC ved hjælp af "domæne\bruger", hvis der bruges en anden lejer end standardlejer, skal du angive "tenant\domæne\bruger", når du logger på NMC. |
| Domæne | Angiv dit fulde domænenavn (undtagen et værtsnavn). Dette er typisk dit grundlæggende DN, som består af dine DC-værdier (Domain Component) for dit domæne. |
| Portnummer | Brug port 389 til LDAP- og AD-integration. Til LDAP over SSL bruges port 636. Disse porte er ikke-NetWorker-standardporte på AD/LDAP-serveren. |
| Bruger-DN | Angiv det entydige navn (DN) på en brugerkonto, der har fuld læseadgang til LDAP- eller AD-mappen.Angiv brugerkontoens relative DN eller det fulde DN, hvis den værdi, der er angivet i feltet Domain (Domæne), tilsidesættes. |
| Bruger-DN-adgangskode | Angiv adgangskoden til den brugerkonto, der er angivet. |
| Group Object Class | Objektklassen, der identificerer grupper i LDAP- eller AD-hierarkiet.
|
| Søgesti til gruppe | Dette felt kan efterlades tomt i det tilfælde, hvor authc er i stand til at forespørge på det fulde domæne. Der skal gives tilladelser til NMC/NetWorker-serveradgang, før disse brugere/grupper kan logge på NMC og administrere NetWorker-serveren. Angiv den relative sti til domænet i stedet for fuld DN. |
| Attribut for gruppenavn | Attributten, der identificerer gruppenavnet. F.eks. cn. |
| Attribut for gruppemedlem | Gruppemedlemskab for brugeren i en gruppe.
|
| Brugerobjektklasse | Objektklassen, der identificerer brugerne i LDAP- eller AD-hierarkiet. F.eks . InetOrgPerson eller bruger |
| Brugersøgesti | Ligesom gruppesøgestien kan dette felt efterlades tomt, i hvilket tilfælde authc kan forespørge på det fulde domæne. Angiv den relative sti til domænet i stedet for fuld DN. |
| Attribut for bruger-id | Det bruger-id, der er knyttet til brugerobjektet i LDAP- eller AD-hierarkiet.
|
F.eks. Active Directory-integration:
BEMÆRK: Kontakt din AD/LDAP-administrator for at få bekræftet, hvilke AD/LDAP-specifikke felter der er nødvendige for dit miljø.
4) Når alle felter er udfyldt, skal du klikke på OK for at tilføje den nye myndighed.
5) Du kan bruge kommandoen authc_mgmt på din NetWorker-server til at bekræfte, at AD/LDAP-grupper/brugere er synlige:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
F.eks:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
BEMÆRK: På nogle systemer kan authc-kommandoerne mislykkes med fejlen "forkert adgangskode", selv når den korrekte adgangskode er angivet. Dette skyldes, at adgangskoden er angivet som synlig tekst med indstillingen "-p". Hvis du støder på dette, skal du fjerne "-p password" fra kommandoerne. Du vil blive bedt om at indtaste adgangskoden, efter at du har kørt kommandoen.
(DN) for en AD/LDAP-gruppe (indsamlet i trin 5) i feltet med eksterne roller. For brugere, der kræver tilladelser på samme niveau som standard NetWorker Administrator-kontoen, skal du også angive AD/LDAP-gruppe-DN i rollen "Konsolsikkerhedsadministratorer". For brugere/grupper, der ikke har brug for administrative rettigheder til NMC-konsollen, skal de tilføje deres fulde DN i "Konsolbruger" - eksterne roller.
BEMÆRK: Som standard er der allerede DN for NetWorker-serverens LOKALE administratorgruppe. Slet IKKE dette.
7) Adgangstilladelser skal også anvendes pr. NetWorker-server, der er konfigureret i NMC. Dette kan gøres på en af to måder:
Mulighed 1)
Tilslut NetWorker-serveren fra NMC, åbn Server-->User Groups. Åbn egenskaberne for rollen "Programadministrator", og indtast det entydige navn
(DN) for en AD/LDAP-gruppe (indsamlet i trin 5) i feltet med eksterne roller. Brugere, der kræver tilladelser på samme niveau som standard NetWorker Administrator-kontoen, skal angive AD/LDAP-gruppe-DN i rollen "Sikkerhedsadministratorer".
(DN) for en AD/LDAP-gruppe (indsamlet i trin 5) i feltet med eksterne roller. Brugere, der kræver tilladelser på samme niveau som standard NetWorker Administrator-kontoen, skal angive AD/LDAP-gruppe-DN i rollen "Sikkerhedsadministratorer".
BEMÆRK: Som standard er der allerede DN for NetWorker-serverens LOKALE administratorgruppe. Slet IKKE dette.
Mulighed 2)
For AD-brugere/-grupper, som du vil tildele administratorrettigheder til nsraddadmin-kommandoen, kan der køres fra en administrator- eller rodkommandoprompt på NetWorker-serveren:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" eksempel:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) log på NMC ved hjælp af din AD/LDAP-konto (f.eks. domæne\bruger):
Hvis en anden lejer end standardlejer blev brugt, skal du angive den før domænet, f.eks.: tenant\domain\user.
Den anvendte konto vises i øverste højre hjørne. Brugeren har mulighed for at udføre handlinger baseret på de roller, der er tildelt i NetWorker.
9) Hvis du ønsker, at en AD/LDAP-gruppe skal kunne administrere eksterne myndigheder, skal du udføre følgende på NetWorker-serveren.
9) Hvis du ønsker, at en AD/LDAP-gruppe skal kunne administrere eksterne myndigheder, skal du udføre følgende på NetWorker-serveren.
a) Åbn en administrativ/root-kommandoprompt.
b) Ved hjælp af AD-gruppe DN (indsamlet i trin 5), du vil give FULL_CONTROL tilladelse til at køre:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" F.eks:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: Sådan konfigureres AD/LDAP fra NetWorker Web User Interface
Networker: Sådan konfigureres LDAP/AD ved hjælp af authc_config scripts
Networker: Sådan konfigureres LDAPS-godkendelse.
Networker: Sådan konfigureres LDAP/AD ved hjælp af authc_config scripts
Networker: Sådan konfigureres LDAPS-godkendelse.