NetWorker: Så här konfigurerar du AD/LDAP-autentisering
Summary: I den här kunskapsdatabasartikeln får du en översikt över hur du lägger till extern behörighet till NetWorker med hjälp av guiden för extern behörighet för NetWorker Management Console (NMC). Active Directory (AD) eller Linux LDAP-autentisering kan användas tillsammans med standardadministratörskontot för NetWorker eller andra lokala NMC-konton. ...
This article applies to
This article does not apply to
Instructions
Obs! För AD över SSL-integreringar ska NetWorker-webbanvändargränssnittet användas för att konfigurera extern behörighet. Mer information finns i NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI).
Logga in på NetWorker Management Console (NMC) med NetWorker-standardadministratörskontot. På fliken Setup (konfiguration) –> User and Roles (användare och roller) finns det ett nytt alternativ för External Authority (extern behörighet).
Du kan fortfarande använda kommandona authc_config och authc_mgmt för frågekonfigurationer och AD/LDAP-användare och -grupper; Vi rekommenderar dock att du använder NMC för att lägga till AD/LDAP till NetWorker.
1) Om du vill lägga till en ny behörighethögerklickar du i fönstret External Authority (extern behörighet) och väljer New (ny).
2) I rutan External Authentication Authority måste du fylla i de obligatoriska fälten med din AD/LDAP-information.
3) Markera kryssrutan "Visa avancerade alternativ" om du vill visa alla fält
| Servertyp | Välj LDAP om autentiseringsservern är en Linux/UNIX LDAP-server, Active Directory om du använder en Microsoft Active Directory-server. |
| Behörighetsnamn | Ange ett namn för den här externa autentiseringsbehörigheten. Namnet kan vara vad du vill att det ska vara. Det är bara att skilja mellan andra myndigheter när flera har konfigurerats. |
| Leverantörens servernamn | Det här fältet ska innehålla det fullständigt kvalificerade domännamnet (FQDN) för din AD- eller LDAP-server. |
| Hyresgästen | Klientorganisationer kan användas i miljöer där fler än en autentiseringsmetod kan användas och/eller när flera myndigheter måste konfigureras. Som standard är "standard"-klientorganisationen markerad. Användning av klientorganisationer ändrar inloggningsmetoden. När standardklienten används kan du logga in på NMC med "domain\user" om en annan klientorganisation än standardklienten används. Du måste ange "tenant\domain\user" när du loggar in på NMC. |
| Domän | Ange ditt fullständiga domännamn (exklusive ett värdnamn). Vanligtvis är det här ditt grundläggande DN som består av domänkomponentvärdena (DC) i din domän. |
| Portnummer | För LDAP- och AD-integrering används port 389. För LDAP via SSL används port 636. Dessa portar är standardportar som inte är NetWorker-standardportar på AD/LDAP-servern. |
| Användar-DN | Ange unikt namn (DN) för ett användarkonto som har fullständig läsåtkomst till LDAP- eller AD-katalogen.Ange användarkontots relativa DN eller hela DN om det åsidosätts i fältet Domain. |
| DN-användarlösenord | Ange lösenordet för det angivna användarkontot. |
| Gruppobjektsklass | Objektklassen som identifierar grupper i LDAP- eller AD-hierarkin.
|
| Gruppsökväg | Det här fältet kan lämnas tomt. Då kan authc fråga hela domänen. Behörigheter måste beviljas för NMC-/NetWorker-serveråtkomst innan dessa användare/grupper kan logga in på NMC och hantera NetWorker-servern. Ange den relativa sökvägen till domänen i stället för fullständigt DN. |
| Gruppnamnattribut | Det attribut som identifierar gruppnamnet. Till exempel cn. |
| Gruppmedlemsattribut | Användarens gruppmedlemskap i en grupp.
|
| Användarobjektsklass | Objektklassen som identifierar användarna i LDAP- eller AD-hierarkin. Till exempel inetOrgPerson eller användare |
| Användarsökväg | Precis som med gruppsökvägen kan det här fältet lämnas tomt. I så fall kan authc fråga hela domänen. Ange den relativa sökvägen till domänen i stället för fullständigt DN. |
| Användar-ID-attribut | Användar-ID:t som är kopplat till användarobjektet i LDAP- eller AD-hierarkin.
|
Till exempel Active Directory-integrering:
Obs! Rådgör med din AD/LDAP-administratör för att bekräfta vilka AD/LDAP-specifika fält som behövs för din miljö.
4) När alla fält har fyllts i klickar du på OK för att lägga till den nya behörigheten.
5) Du kan använda kommandot authc_mgmt på NetWorker-servern för att bekräfta att AD/LDAP-grupperna/användarna är synliga:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
E.g:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
Obs! På vissa system kan authc-kommandona misslyckas med felet "felaktigt lösenord" även när rätt lösenord anges. Detta beror på att lösenordet som anges som synligt text med alternativet "-p". Om du stöter på det tar du bort "-p password" från kommandona. Du uppmanas att ange lösenordet som är dolt när du har kört kommandot.
(DN) för en AD/LDAP-grupp (insamlat i steg 5) i fältet för externa roller. För användare som behöver samma nivåbehörigheter som netWorker-standardadministratörskontot måste du även ange AD/LDAP-grupp-DN i rollen "Console Security Administrators". För användare/grupper som inte behöver administratörsbehörighet till NMC-konsolen lägger du till fullständigt DN i "Console User" – externa roller.
Obs! Som standard finns det redan DN för NetWorker-serverns lokala administratörsgrupp. Ta INTE bort detta.
7) Åtkomstbehörigheter måste också tillämpas per NetWorker-server som konfigurerats i NMC. Detta kan göras på två sätt:
Alternativ 1)
Anslut NetWorker-servern från NMC, öppna Server-->User Groups. Öppna egenskaperna för rollen "Application Administrators" och ange det unika namnet
(DN) för en AD/LDAP-grupp (insamlat i steg 5) i fältet för externa roller. För användare som behöver samma nivåbehörigheter som NetWorker-standardadministratörskontot måste du ange AD/LDAP-grupp-DN i rollen "Säkerhetsadministratörer".
(DN) för en AD/LDAP-grupp (insamlat i steg 5) i fältet för externa roller. För användare som behöver samma nivåbehörigheter som NetWorker-standardadministratörskontot måste du ange AD/LDAP-grupp-DN i rollen "Säkerhetsadministratörer".
Obs! Som standard finns det redan DN för NetWorker-serverns lokala administratörsgrupp. Ta INTE bort detta.
Alternativ 2)
För AD-användare/-grupper kan du bevilja administratörsrättigheter till kommandot nsraddadmin från en kommandotolk för administratörer eller rot på NetWorker-servern:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" exempel:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) Logga in på NMC med ditt AD/LDAP-konto (t.ex. domän\användare):
Om en annan klientorganisation än standardklienten användes måste du ange den före domänen, t.ex. tenant\domain\user.
Kontot som används visas i det övre högra hörnet. Användaren kan utföra åtgärder baserat på rollerna som är tilldelade i NetWorker.
9) Om du vill att en AD/LDAP-grupp ska kunna hantera externa myndigheter måste du utföra följande på NetWorker-servern.
9) Om du vill att en AD/LDAP-grupp ska kunna hantera externa myndigheter måste du utföra följande på NetWorker-servern.
a) Öppna en kommandotolk för administration/rot.
b) Med ad-grupp-DN (insamlat i steg 5) vill du bevilja FULL_CONTROL behörighet att köra:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" E.g:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: Så här konfigurerar du AD/LDAP från NetWorker-webbanvändargränssnittet
Networker: Så här konfigurerar du LDAP/AD med authc_config skript
Networker: Så här konfigurerar du LDAPS-autentisering.
Networker: Så här konfigurerar du LDAP/AD med authc_config skript
Networker: Så här konfigurerar du LDAPS-autentisering.