NetWorker: Як налаштувати автентифікацію AD/LDAP
Summary: У цій базі даних наведено огляд того, як додати зовнішні повноваження до NetWorker за допомогою майстра зовнішніх повноважень NetWorker Management Console (NMC). Автентифікацію Active Directory (AD) або Linux LDAP можна використовувати разом із обліковим записом адміністратора NetWorker за замовчуванням або іншими локальними обліковими записами NMC. ...
This article applies to
This article does not apply to
Instructions
ПРИМІТКА: Для інтеграції AD over SSL слід використовувати веб-інтерфейс користувача NetWorker для налаштування зовнішнього органу. Дивіться NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI).
Увійдіть до консолі керування NetWorker (NMC) за допомогою облікового запису адміністратора NetWorker за замовчуванням. На вкладці Setup — User and Roles —> нова опція для External Authority.
Ви все ще можете використовувати команди authc_config і authc_mgmt для надсилання запитів до конфігурацій, користувачів і груп AD/LDAP. однак рекомендується використовувати NMC для додавання AD/LDAP до NetWorker.
1) Щоб додати новий орган, клацнітьправою кнопкою миші у вікні External Authority і виберіть New.
2) У полі External Authentication Authority (Зовнішній центр автентифікації) необхідно заповнити обов'язкові поля інформацією про AD/LDAP.
3) Поставте галочку навпроти пункту "Показати додаткові параметри", щоб побачити всі поля
| Тип сервера | Виберіть LDAP, якщо сервером автентифікації є сервер LDAP Linux/UNIX, Active Directory, якщо ви використовуєте сервер Microsoft Active Directory. |
| Ім'я органу | Укажіть ім'я цього зовнішнього центру автентифікації. Це ім'я може бути будь-яким, воно лише для того, щоб розрізняти інші органи, коли налаштовано кілька. |
| Ім'я сервера провайдера | Це поле має містити повне доменне ім'я (FQDN) вашого сервера AD або LDAP. |
| Орендаря | Клієнти можуть використовуватися в середовищах, де може використовуватися більше одного методу автентифікації та/або коли потрібно налаштувати кілька центрів. За замовчуванням вибрано клієнта «за замовчуванням». Використання орендарів змінює ваш спосіб входу. Коли використовується клієнт за замовчуванням, ви можете увійти в NMC за допомогою "domain\user", якщо використовується клієнт, відмінний від клієнта за замовчуванням, ви повинні вказати "tenant\domain\user" під час входу в NMC. |
| Домен | Укажіть повне доменне ім'я (за винятком імені хоста). Зазвичай це базовий DN, який складається зі значень компонента домену (DC) вашого домену. |
| Номер порту | Для інтеграції LDAP і AD використовуйте порт 389. Для LDAP over SSL використовуйте порт 636. Ці порти не є портами за замовчуванням на сервері AD/LDAP. |
| DN користувача | Укажіть відмітне ім'я (DN) облікового запису користувача, який має повний доступ до читання каталогу LDAP або AD.Укажіть відносний DN облікового запису користувача або повний DN, якщо ви перевизначаєте значення, встановлене в полі Домен. |
| Пароль DN користувача | Вкажіть пароль вказаного облікового запису користувача. |
| Клас Групового Об'єкта | Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD.
|
| Шлях групового пошуку | Це поле можна залишити порожнім, і в цьому випадку authc може надсилати запити до повного домену. Для доступу до сервера NMC/NetWorker повинні бути надані дозволи, перш ніж ці користувачі/групи зможуть увійти в NMC і керувати сервером NetWorker. Вкажіть відносний шлях до домену замість повного DN. |
| Атрибут назви групи | Атрибут, який ідентифікує назву групи. Наприклад, кн. |
| Атрибут учасника групи | Членство користувача в групі.
|
| Клас об'єкта користувача | Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD. Наприклад, inetOrgPerson або користувач |
| Шлях пошуку користувачів | Як і Шлях групового пошуку, це поле можна залишити порожнім, у цьому випадку authc може надсилати запити до повного домену. Вкажіть відносний шлях до домену замість повного DN. |
| Атрибут ідентифікатора користувача | Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD.
|
Наприклад, інтеграція з Active Directory:
ПРИМІТКА: Проконсультуйтеся зі своїм адміністратором AD/LDAP, щоб дізнатися, які специфічні поля AD/LDAP потрібні для вашого середовища.
4) Після того, як всі поля будуть заповнені, натисніть ОК, щоб додати новий орган.
5) Ви можете використовувати команду authc_mgmt на вашому сервері NetWorker, щоб підтвердити, що групи/користувачі AD/LDAP видимі:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Наприклад:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
ПРИМІТКА: У деяких системах команди authc можуть завершуватися помилкою «неправильний пароль», навіть якщо вказано правильний пароль. Це пов'язано з тим, що пароль вказано у вигляді видимого тексту з параметром "-p". Якщо ви зіткнулися з цим, видаліть "-p password" з команд. Вам буде запропоновано ввести пароль, прихований після виконання команди.
» (DN) групи AD/LDAP (зібране на кроці 5). Для користувачів, яким потрібні дозволи того ж рівня, що і обліковий запис NetWorker Administrator за замовчуванням, вам також потрібно буде вказати DN групи AD/LDAP у ролі «Адміністратори безпеки консолі». Для користувачів/груп, яким не потрібні права адміністратора на консоль NMC, додайте їх повний DN в полі "Користувач консолі" - зовнішні ролі.
ПРИМІТКА: За замовчуванням вже є DN групи LOCAL Administrators сервера NetWorker, НЕ видаляйте його.
7) Права доступу також повинні застосовуватися для кожного сервера NetWorker, налаштованого в NMC. Це можна зробити одним з двох способів:
Варіант 1)
Підключіть сервер NetWorker до NMC, відкрийте Server-->User Groups. Відкрийте властивості ролі «Адміністратори програм» і введіть у поле «Зовнішні ролі» відоме ім'я
(DN) групи AD/LDAP (зібране на кроці 5). Для користувачів, яким потрібні дозволи того ж рівня, що і для облікового запису адміністратора NetWorker за замовчуванням, необхідно вказати DN групи AD/LDAP у ролі «Адміністратори безпеки».
(DN) групи AD/LDAP (зібране на кроці 5). Для користувачів, яким потрібні дозволи того ж рівня, що і для облікового запису адміністратора NetWorker за замовчуванням, необхідно вказати DN групи AD/LDAP у ролі «Адміністратори безпеки».
ПРИМІТКА: За замовчуванням вже є DN групи LOCAL Administrators сервера NetWorker, НЕ видаляйте його.
Варіант 2)
Для користувачів/груп AD, яким ви хочете надати права адміністратора, команда nsraddadmin може бути запущена з командного рядка адміністратора або кореневого командного рядка на сервері NetWorker:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" приклад:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) увійдіть до NMC за допомогою свого облікового запису AD/LDAP (наприклад, domain\user):
Якщо використовувався клієнт, відмінний від клієнта за замовчуванням, його потрібно вказати перед доменом, наприклад: tenant\domain\user.
Рахунок, який використовується, буде показаний у верхньому правому куті. Користувач має можливість виконувати дії на основі ролей, призначених в NetWorker.
9) Якщо ви хочете, щоб група AD/LDAP могла керувати зовнішніми службами, ви повинні виконати наступне на сервері NetWorker.
9) Якщо ви хочете, щоб група AD/LDAP могла керувати зовнішніми службами, ви повинні виконати наступне на сервері NetWorker.
a) Відкрийте адміністративний/кореневий командний рядок.
б) За допомогою DN групи AD (зібраної на кроці 5) потрібно надати FULL_CONTROL дозвіл на запуск:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Наприклад:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: Як налаштувати AD/LDAP за допомогою веб-інтерфейсу
користувача NetWorkerNetWorker: Як налаштувати LDAP/AD за допомогою сценаріїв
authc_configNetWorker: Як налаштувати розпізнавання LDAPS.
користувача NetWorkerNetWorker: Як налаштувати LDAP/AD за допомогою сценаріїв
authc_configNetWorker: Як налаштувати розпізнавання LDAPS.