Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: Cómo configurar la autenticación de AD/LDAP

Summary: En este artículo de la base de conocimientos, se proporciona una descripción general de cómo agregar autoridad externa a NetWorker mediante el asistente de autoridad externa de NetWorker Management Console (NMC). La autenticación ldap de Active Directory (AD) o Linux se puede utilizar junto con la cuenta predeterminada de administrador de NetWorker u otras cuentas de NMC locales. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

NOTA: Para las integraciones de AD mediante SSL, la interfaz del usuario web de NetWorker se debe usar para configurar la autoridad externa. Consulte NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz del usuario web de NetWorker (NWUI).

Inicie sesión en NetWorker Management Console (NMC) con la cuenta predeterminada de administrador de NetWorker. En la pestaña Configuración:> Usuario y funciones, hay una nueva opción para Autoridad externa.

 

Ventana de configuración de La consola de administración de NetWorker para el repositorio de autoridad externa
Aún puede usar los comandos authc_config y authc_mgmt para consultar configuraciones y usuarios y grupos de AD/LDAP; sin embargo, se recomienda utilizar NMC para agregar AD/LDAP a NetWorker.
 
1) Para agregar una nueva autoridad, haga clic con el botón secundario en la ventana Autoridad externa y seleccione Nuevo.
2) En el cuadro Autoridad de autenticación externa, debe completar los campos obligatorios con la información de AD/LDAP.
3) Marque la casilla "Show Advanced Options" (Mostrar opciones avanzadas) para ver todos los campos
Tipo de servidor Seleccione LDAP si el servidor de autenticación es un servidor LDAP de Linux/UNIX, Active Directory si está utilizando un servidor de Microsoft Active Directory.
Nombre de la autoridad Proporcione un nombre para esta autoridad de autenticación externa. Este nombre puede ser lo que quiera que sea, solo sirve para diferenciar entre otras autoridades cuando se configuran varios.
Nombre del servidor proveedor Este campo debe contener el nombre de dominio calificado (FQDN) de su servidor AD o LDAP.
Inquilino Los grupos de usuarios se pueden usar en ambientes donde se puede usar más de un método de autenticación o cuando se deben configurar varias autoridades. De manera predeterminada, se selecciona el grupo de usuarios "predeterminado". El uso de grupos de usuarios altera el método de inicio de sesión. Cuando se utiliza el grupo de usuarios predeterminado, puede iniciar sesión en NMC mediante "domain\user" si se utiliza un grupo de usuarios distinto del grupo de usuarios predeterminado, debe especificar "tenant\domain\user" cuando inicie sesión en NMC.
Dominio Especifique el nombre de dominio completo (sin incluir un nombre de host). Por lo general, este es su DN base que se compone de los valores de componente de dominio (DC) de su dominio. 
Número de puerto Para la integración de LDAP y AD, utilice el puerto 389. Para LDAP mediante SSL, utilice el puerto 636. Estos puertos son puertos predeterminados que no son de NetWorker en el servidor AD/LDAP.
DN de Usuario Especifique el nombre distintivo (DN) de una cuenta de usuario que tenga acceso de lectura completo al directorio LDAP o AD.
Especifique el DN relativo de la cuenta de usuario o el DN completo si reemplaza el valor establecido en el campo Dominio.
Contraseña de DN de usuario Especifique la contraseña de la cuenta de usuario especificada.
Clase de objeto de grupo La clase de objeto que identifica grupos en la jerarquía de LDAP o AD.
  • Para LDAP, utilice groupOfUniqueNames o groupOfNames
    • Nota: Hay otras clases de objetos de grupo aparte de groupOfUniqueNames y groupOfNames.  Utilice cualquier clase de objeto configurada en el servidor LDAP.
  • Para AD, utilice el grupo.
Ruta de búsqueda de grupo Este campo se puede dejar en blanco, en cuyo caso authc puede consultar el dominio completo. Se deben otorgar permisos para el acceso al servidor de NMC/NetWorker antes de que estos usuarios/grupos puedan iniciar sesión en NMC y administrar el servidor de NetWorker. Especifique la ruta relativa al dominio en lugar de DN completo.
Atributo de nombre de grupo Atributo que identifica el nombre del grupo. Por ejemplo, cn.
Atributo de miembro de grupo La membresía en grupo del usuario dentro de un grupo.
  • Para LDAP:
    • Cuando group Object Class es groupOfNames , el atributo es comúnmente miembro.
    • Cuando group Object Class es groupOfUniqueNames , el atributo suele ser un miembro único.
  •  Para AD, el valor es comúnmente miembro.
Clase de objeto de usuario La clase de objeto que identifica a los usuarios en la jerarquía de LDAP o AD.
Por ejemplo, inetOrgPerson o usuario
Ruta de búsqueda de usuarios Al igual que la ruta de búsqueda de grupo, este campo se puede dejar en blanco, en cuyo caso authc puede consultar el dominio completo. Especifique la ruta relativa al dominio en lugar de DN completo.
Atributo de ID de usuario El ID de usuario asociado con el objeto de usuario en la jerarquía de LDAP o AD.
  • Para LDAP, este atributo es comúnmente uid.
  • Para AD, este atributo es comúnmente sAMAccountName.
Por ejemplo, integración de Active Directory:
Asistente de creación de autoridad externa
NOTA: Consulte con el administrador de AD/LDAP para confirmar qué campos específicos de AD/LDAP se necesitan para su ambiente.
 
4) Una vez que se completen todos los campos, haga clic en Aceptar para agregar la nueva autoridad.
5) Puede utilizar el comando authc_mgmt en el servidor de NetWorker para confirmar que los grupos/usuarios de AD/LDAP sean visibles: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Por ejemplo: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
NOTA: En algunos sistemas, los comandos authc pueden fallar con un error de "contraseña incorrecta", incluso cuando se proporciona la contraseña correcta. Esto se debe a que la contraseña se especifica como texto visible con la opción "-p". Si encuentra esto, elimine "-p password" de los comandos. Se le pedirá que ingrese la contraseña oculta después de ejecutar el comando.
 
6) Cuando inicie sesión en NMC como la cuenta de administrador predeterminada de NetWorker, abra Setup-->Users and Roles-->NMC Roles. Abra las propiedades de la función "Administradores de aplicaciones de consola" e ingrese el nombre distintivo (DN) de un grupo de AD/LDAP (recopilado en el paso 5) en el campo funciones externas. Para los usuarios que requieren los mismos permisos de nivel que la cuenta de administrador predeterminada de NetWorker, también deberá especificar el DN del grupo de AD/LDAP en la función "Administradores de seguridad de la consola". Para los usuarios/grupos que no necesitan derechos administrativos para la consola de NMC, agregue su DN completo en las funciones externas "Console User".
 
NOTA: De manera predeterminada, ya existe el DN del grupo de administradores LOCALES del servidor NetWorker, NO lo elimine.

7) Los permisos de acceso también se deben aplicar por servidor de NetWorker configurado en NMC. Esto se puede realizar de dos maneras:

opción 1)
Conecte el servidor de NetWorker desde NMC y abra Server-->User Groups. Abra las propiedades de la función "Administradores de aplicaciones" e ingrese el nombre distintivo (DN) de un grupo de AD/LDAP (recopilado en el paso 5) en el campo funciones externas. Para los usuarios que requieren los mismos permisos de nivel que la cuenta de administrador predeterminada de NetWorker, debe especificar el DN del grupo de AD/LDAP en la función "Administradores de seguridad".

NOTA: De manera predeterminada, ya existe el DN del grupo de administradores LOCALES del servidor NetWorker, NO lo elimine.
 
Opción 2)
Para los usuarios/grupos de AD que desea otorgar derechos de administrador al comando nsraddadmin, se puede ejecutar desde un símbolo del sistema de administrador o raíz en el servidor de NetWorker: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
ejemplo:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) inicie sesión en NMC con su cuenta de AD/LDAP (p. ej., dominio\usuario):
Ejemplo de inicio de sesión de usuario de AD en la consola de administración de NetWorker
Si se utilizó un grupo de usuarios distinto del grupo de usuarios predeterminado, debe especificarlo antes del dominio, por ejemplo: tenant\domain\user.
La cuenta que se utiliza se mostrará en la esquina superior derecha. El usuario tiene la capacidad de realizar acciones en función de las funciones asignadas en NetWorker.

9) Si desea que un grupo de AD/LDAP pueda administrar autoridades externas, debe realizar lo siguiente en el servidor de NetWorker.
a) Abra un símbolo del sistema administrativo/raíz.
b) Mediante el DN del grupo de AD (recopilado en el paso 5) desea otorgar FULL_CONTROL permiso para ejecutar: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
Por ejemplo:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

NetWorker NWUI: Cómo configurar AD/LDAP desde la interfaz
del usuario web de NetWorkerNetworker: Cómo configurar LDAP/AD mediante scripts
de authc_configNetworker: Cómo configurar la autenticación ldaps.

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console