NetWorker:如何設定 AD/LDAP 驗證
Summary: 本知識庫文章概述如何使用 NetWorker 管理主控台 (NMC) 外部授權精靈,為 NetWorker 新增外部授權。Active Directory (AD) 或 Linux LDAP 驗證可與預設的 NetWorker 系統管理員帳戶或其他本機 NMC 帳戶搭配使用。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
注意:若為透過 SSL 整合的 AD,NetWorker Web 使用者介面應用於設定外部授權。請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)。
使用預設的 NetWorker 系統管理員帳戶登入 NetWorker 管理主控台 (NMC)。在[Setup] (設定) 標籤 — > 使用者與角色中,有一個外部授權的新選項。
您仍然可以使用authc_config和authc_mgmt命令來查詢組態和 AD/LDAP 使用者和群組;不過,建議使用 NMC 將 AD/LDAP 新增至 NetWorker。
1) 若要新增授權,請在「外部授權」視窗中按一下滑鼠右鍵,然後選取「New」。
2) 在外部驗證授權方塊中,您必須使用 AD/LDAP 資訊填入必要欄位。
3) 勾選「顯示進階選項」方塊以查看所有欄位
| 伺服器類型 | 如果您使用的是 Microsoft Active Directory 伺服器,如果驗證服務器是 Linux/UNIX LDAP 伺服器,請選取 LDAP。 |
| 授權單位名稱 | 提供此外部驗證授權的名稱。這個名稱可以是任何您想要的名稱,只有在設定多個組態時,才能在其他機關之間有所差異。 |
| 供應商伺服器名稱 | 此欄位應包含 AD 或 LDAP 伺服器的完整功能變數名稱 (FQDN)。 |
| 租戶 | 租使用者可在可以使用一個以上驗證方法的環境中使用,及/或在必須設定多個授權機關時使用。預設選取「預設」租使用者。租戶的使用會改變您的登入方式。使用預設租使用者時,如果使用預設租使用者以外的租使用者,則您可以使用「domain\user」登入 NMC,您登入 NMC 時必須指定「tenant\domain\user」。 |
| 網域 | 指定您的全功能變數名稱 (不含主機名稱)。這通常是您的基本 DN,包含您網域的網域元件 (DC) 值。 |
| 連接埠號碼 | 若為 LDAP 和 AD 整合,請使用埠 389。若為透過 SSL 傳輸的 LDAP,請使用埠 636。這些埠是 AD/LDAP 伺服器上的非 NetWorker 預設埠。 |
| 使用者 DN | 指定具有 LDAP 或 AD 目錄完整讀取權之使用者帳戶的 辨別名稱 (DN)。如果覆寫網域欄位中設定的值,請指定使用者帳戶的相對 DN 或完整 DN。 |
| 使用者 DN 密碼 | 指定指定的使用者帳戶密碼。 |
| 群組物件類別 | 識別 LDAP 或 AD 階層中群組的物件類別。
|
| 群組搜尋路徑 | 此欄位可保留空白,在這種情況下,authc 能夠查詢完整網域。這些使用者/群組必須授予 NMC/NetWorker 伺服器存取權,才能登入 NMC 並管理 NetWorker 伺服器。指定網域的 相對 路徑,而非完整 DN。 |
| 組名屬性 | 識別組名的屬性。例如cn。 |
| 群組成員屬性 | 使用者在群組中的群組成員資格。
|
| 使用者物件類別 | 識別 LDAP 或 AD 階層中使用者的物件類別。 例如, inetOrgPerson 或 使用者 |
| 使用者搜尋路徑 | 如同群組搜尋路徑,此欄位可保留空白,在這種情況下,authc 能夠查詢完整網域。指定網域的 相對 路徑,而非完整 DN。 |
| 使用者 ID 屬性 | 與 LDAP 或 AD 階層中的使用者物件相關聯的使用者 ID。
|
例如,Active Directory 整合:
注意:請諮詢您的 AD/LDAP 管理員,確認您的環境需要哪一個 AD/LDAP 特定欄位。
4) 填入所有欄位後,按一下「OK」以新增授權。
5) 您可以使用 NetWorker 伺服器上的authc_mgmt命令來確認 AD/LDAP 群組/使用者是否可見:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
例如:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
注意:在某些系統上,authc 命令可能會失敗,並出現「不正確的密碼」錯誤,即使您輸入的密碼正確亦不正確。這是因為密碼被指定為具有「-p」選項的可見文字。如果您遇到這種情況,請從命令中移除「-p 密碼」。執行命令後,系統會提示您輸入隱藏的密碼。
(DN) (在步驟 5 中收集)。對於需要與預設 NetWorker 系統管理員帳戶相同的層級許可權的使用者,您也需要在「Console Security Administrators」角色中指定 AD/LDAP 群組 DN。對於不需要 NMC 主控台管理許可權的使用者/群組,請在「主控台使用者」中新增完整的 DN ( 外部角色)。
注意:依預設,NetWorker 伺服器的本機系統管理員群組已有 DN,請勿刪除此內容。
7) 在 NMC 中設定的 NetWorker 伺服器也必須套用存取權限。這可以是兩種方式之一:
選項 1)
從 NMC、開放式伺服器 -- > 使用者群組連線 NetWorker 伺服器。開啟「應用程式系統管理員」角色的屬性,並在外部角色欄位中輸入 AD/LDAP 群組的 辨別名稱
(DN) (在步驟 5 中收集)。對於需要與預設 NetWorker 系統管理員帳戶相同的層級許可權的使用者,您必須在「Security Administrators」角色中指定 AD/LDAP 群組 DN。
(DN) (在步驟 5 中收集)。對於需要與預設 NetWorker 系統管理員帳戶相同的層級許可權的使用者,您必須在「Security Administrators」角色中指定 AD/LDAP 群組 DN。
注意:依預設,NetWorker 伺服器的本機系統管理員群組已有 DN,請勿刪除此內容。
選項 2)
若為 AD 使用者/群組,您想要授予 nsraddadmin 命令的管理員許可權,可從 NetWorker 伺服器上的管理員或根命令提示字元執行:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" 範例:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) 使用 AD/LDAP 帳戶 (例如:domain\user) 登入 NMC:
如果使用預設租使用者以外的租使用者,您必須在網域之前指定,例如:tenant\domain\user。
使用的帳戶會顯示在右上角。使用者可根據 NetWorker 中指定的角色執行動作。
9) 如果您希望 AD/LDAP 群組能夠管理外部機關,您必須在 NetWorker 伺服器上執行下列工作。
9) 如果您希望 AD/LDAP 群組能夠管理外部機關,您必須在 NetWorker 伺服器上執行下列工作。
a) 開啟系統管理/根命令提示字元。
b) 使用 AD 群組 DN (在步驟 5 中收集), 您想要授予FULL_CONTROL執行許可權:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" 例如:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI:如何從 NetWorker Web 使用者介面
設定 AD/LDAPNetWorker:如何使用authc_config腳本
設定 LDAP/ADNetWorker:如何設定 LDAPS 驗證。
設定 AD/LDAPNetWorker:如何使用authc_config腳本
設定 LDAP/ADNetWorker:如何設定 LDAPS 驗證。
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000156107
Article Type: How To
Last Modified: 10 Oct 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.