NetWorker: AD/LDAP Kimlik Doğrulamasını Ayarlama (İngilizce)
Summary: Bu KB, NetWorker Yönetim Konsolları'nın (NMC) harici yetki sihirbazını kullanarak NetWorker'a harici yetki eklemeye genel bir bakış sağlar. Active Directory (AD) veya Linux LDAP kimlik doğrulaması, varsayılan NetWorker Yönetici hesabı veya diğer yerel NMC hesaplarının yanı sıra kullanılabilir. ...
This article applies to
This article does not apply to
Instructions
NOT: SSL üzerinden AD entegrasyonları için harici yetkiyi yapılandırmak için NetWorker Web Kullanıcı Arabirimi kullanılmalıdır. Bkz . NetWorker: NetWorker Web Kullanıcı Arabiriminden (NWUI) "SSL üzerinden AD" (LDAPS) yapılandırma.
Varsayılan NetWorker Yönetici hesabıyla NetWorker Yönetim Konsolunda (NMC) oturum açın. Setup (Kurulum) sekmesinin altında:> User and Roles (Kullanıcı ve Roller) için External Authority (Harici Yetki) için yeni bir seçenek vardır.
Yapılandırmaları ve AD/LDAP kullanıcılarını authc_config ve authc_mgmt komutlarını yine de kullanabilirsiniz; ancak NETWorker'a AD/LDAP eklemek için NMC'nin kullanılması önerilir.
1) Yeni bir yetki eklemek için ExternalAuthority (Harici Yetki) penceresine sağ tıklayın ve New (Yeni) öğesini seçin.
2) Harici Kimlik Doğrulama Yetkilisi kutusuna AD/LDAP bilginizle gerekli alanları doldurmanız gerekir.
3) Tüm alanları görmek için "Gelişmiş Seçenekleri Göster" kutusunu işaretleyin
| Sunucu Türü | Microsoft Active Directory sunucusu kullanıyorsanız kimlik doğrulama sunucusu Linux/UNIX LDAP sunucusu ise Active Directory'yi seçin. |
| Yetki Adı | Bu harici kimlik doğrulama yetkilisi için bir ad girin. Bu ad, istediğiniz gibi olabilir; yalnızca birden fazla yapılandırıldığında diğer yetkilileri birbirinden ayırt etmektir. |
| Sağlayıcı Sunucu Adı | Bu alan, AD veya LDAP sisteminizin Tam Nitelikli Etki Alanı Adını (FQDN) içerir. |
| Kiracı | Kiracılar, birden fazla kimlik doğrulama yönteminin kullanılanın ve/veya birden çok yetkilinin yapılandırılması gereken ortamlarda kullanılabilir. Varsayılan olarak, "varsayılan" kiracı seçilidir. Kiracıların kullanımı, oturum açma yönteminizi değiştirir. Varsayılan kiracı kullanıldığında NMC'de "domain\user" kullanarak oturum açabilirsiniz. Varsayılan kiracıdan başka bir kiracı kullanılıyorsa NMC'de oturum aken "tenant\domain\user" (kiracı\etki alanı\kullanıcı) öğesini belirtmeniz gerekir. |
| Domain (Etki Alanı) | Tam etki alanı adı belirtin (ana bilgisayar adı hariç). Genellikle bu, etki alanınıza bağlı Etki Alanı Bileşeni (DC) değerlerinizi içeren temel DN'nizdir. |
| Bağlantı Noktası Numarası | LDAP ve AD entegrasyonu için bağlantı noktası 389'u kullanın. SSL üzerinden LDAP için 636 numaralı bağlantı noktasını kullanın. Bu bağlantı noktaları AD/LDAP sunucusu üzerindeki NetWorker olmayan varsayılan bağlantı noktalarıdır. |
| Kullanıcı DN'si | LDAP veya AD dizinine tam okuma erişimi olan bir kullanıcı hesabı için Ayırt Edici Adı (DN) belirtin.Etki Alanı alanında ayarlanmış değeri geçersiz kıldığında kullanıcı hesabıyla ilgili DN'yi veya tam DN'yi belirtin. |
| Kullanıcı DN Parolası | Belirtilen kullanıcı hesabı parolasını belirtin. |
| Grup Nesne Sınıfı | LDAP veya AD hiyerarşisinde grupları tanımlayan nesne sınıfı.
|
| Grup Arama Yolu | Bu alan boş bırakılabilir. Bu durumda authc, tam etki alanı sorgulama özelliğine sahip olabilir. Bu kullanıcılar/gruplar NMC'de oturum aça ve NetWorker sunucusunu yönetene kadar NMC/NetWorker sunucu erişimi için izinler ver gerekir. Tam DN yerine etki alanına göreli yolu belirtin. |
| Grup Adı Özniteliği | Grup adını tanımlayan öznitelik. Örneğin, cn. |
| Grup Üyesi Özniteliği | Bir grup içindeki kullanıcının grup üyeliği.
|
| Kullanıcı Nesne Sınıfı | LDAP veya AD hiyerarşisinde kullanıcıları tanımlayan nesne sınıfı. Örneğin, inetOrgPerson veyakullanıcı |
| Kullanıcı Arama Yolu | Grup Arama Yolu gibi bu alan da boş bırakılabilir. Bu durumda authc, tam etki alanı sorgular. Tam DN yerine etki alanına göreli yolu belirtin. |
| Kullanıcı Kimliği Özniteliği | LDAP veya AD hiyerarşisinde kullanıcı nesnesiyle ilişkili kullanıcı kimliği.
|
Örneğin, Active Directory entegrasyonu:
NOT: Ortamınız için hangi AD/LDAP alanlarının gerekli olduğunu onaylamak için AD/LDAP yöneticinize danışın.
4) Tüm alanlar doldurularak yeni yetki eklemek için Tamam öğesine tıklayın.
5) AD/LDAP gruplarının/authc_mgmt görünür olduğunu onaylamak için NetWorker sunucudaki authc_mgmt komutunu kullanabilirsiniz:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Örneğin:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
NOT: Bazı sistemlerde, doğru parola verilen bile kimlik doğrulama komutları "yanlış parola" hatasıyla başarısız olabilir. Bunun nedeni, parolanın "-p" seçeneğiyle görünür metin olarak belirtiliyor olmasıdır. Bu sorunla karşılaşırsanız komutlardan "-p parolasını" kaldırın. Komutu çalıştırdıktan sonra gizli parolayı girmeniz istenir.
rolünün özelliklerini açın ve harici roller alanına ad/LDAP grubunun Ayırt Edici Adını (DN) girin (adım 5'te toplanır). Varsayılan NetWorker Yönetici hesabıyla aynı düzey izinlere ihtiyaç olan kullanıcılar için "Console Security Administrators" (Konsol Güvenliği Yöneticileri) rolünde AD/LDAP grubu DN'sini de belirtmeniz gerekir. NMC Konsolu için yönetici haklarına ihtiyaç olmayan kullanıcılar /gruplar için tam DN'lerini "Console User" (Konsol Kullanıcısı) - harici rollere ekleyin.
NOT: Varsayılan olarak NetWorker sunucusunun LOCAL Administrators grubunun DN'si zaten vardır, BUNU SİSMEYİN.
7) Erişim izinleri NMC'de yapılandırılan NetWorker sunucusuna göre de uygulanmalı. Bu iki yöntemden biri ile yapılabilir:
Seçenek 1)
NetWorker sunucusunu NMC'den bağlayın, Server--User Groups'i> açın. "Application Administrators"
rolünün özelliklerini açın ve harici roller alanına ad/LDAP grubunun Ayırt Edici Adını (DN) girin (adım 5'te toplanır). Varsayılan NetWorker Yönetici hesabıyla aynı düzey izinleri gerektiren kullanıcılar için "Security Administrators" (Güvenlik Yöneticileri) rolünde AD/LDAP grubu DN'sini belirtmeniz gerekir.
rolünün özelliklerini açın ve harici roller alanına ad/LDAP grubunun Ayırt Edici Adını (DN) girin (adım 5'te toplanır). Varsayılan NetWorker Yönetici hesabıyla aynı düzey izinleri gerektiren kullanıcılar için "Security Administrators" (Güvenlik Yöneticileri) rolünde AD/LDAP grubu DN'sini belirtmeniz gerekir.
NOT: Varsayılan olarak NetWorker sunucusunun LOCAL Administrators grubunun DN'si zaten vardır, BUNU SİSMEYİN.
Seçenek 2)
nsraddadmin komutu için Yönetici hakları sağlamak istediğiniz AD kullanıcıları/grupları için NetWorker sunucusundaki bir yönetici veya kök komut isteminden çalıştırılır:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" örnek:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) AD/LDAP hesabınızı kullanarak NMC'de oturum açın (ör. etki alanı\kullanıcı):
Varsayılan kiracının dışındaki bir kiracı kullanılıyorsa bunu etki alanının (ör. tenant\domain\user) önce belirtmeniz gerekir.
Kullanılan hesap sağ üst köşede gösterilir. Kullanıcı, NetWorker'da atanan rollere bağlı olarak eylemler gerçekleştirme özelliğine sahip.
9) Bir AD/LDAP grubunun Harici Yetkilileri yönetebilmesini istiyorsanız NetWorker sunucuda aşağıdakileri gerçekleştirmeniz gerekir.
9) Bir AD/LDAP grubunun Harici Yetkilileri yönetebilmesini istiyorsanız NetWorker sunucuda aşağıdakileri gerçekleştirmeniz gerekir.
a) Bir yönetici/kök komut istemi açın.
b) Ad grubu DN'sini kullanma (5. adımda toplanır) FULL_CONTROL için izin verilmelidir:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Örneğin:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: NetWorker Web Kullanıcı Arabiriminden AD/LDAP'yi Yapılandırma
Networker: Komut dosyalarını kullanarak LDAP/AD authc_config ayarlama
Networker: LDAPS Kimlik Doğrulamasını yapılandırma.
Networker: Komut dosyalarını kullanarak LDAP/AD authc_config ayarlama
Networker: LDAPS Kimlik Doğrulamasını yapılandırma.