NetWorker:如何设置 AD/LDAP 验证
Summary: 本知识库文章概述了如何使用 NetWorker Management Console (NMC) 外部机构向导向 NetWorker 添加外部机构。Active Directory (AD) 或 Linux LDAP 身份验证可与默认 NetWorker 管理员帐户或其他本地 NMC 帐户一起使用。
This article applies to
This article does not apply to
Instructions
提醒:对于 AD over SSL 集成,应使用 NetWorker Web 用户界面来配置外部机构。请参阅 NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)。
使用默认 NetWorker 管理员帐户登录 NetWorker 管理控制台 (NMC)。在“设置”选项卡“用户>”和“角色”下,有一个“外部机构”的新选项。
您仍然可以使用authc_config和authc_mgmt命令查询配置以及 AD/LDAP 用户和组;但是,建议使用 NMC 将 AD/LDAP 添加到 NetWorker。
1) 要添加新机构,请右键单击 外部机构 窗口,然后选择 新建 。
2) 在 外部身份验证机构 框中,您必须使用 AD/LDAP 信息填充必填字段。
3) 选中“Show Advanced Options”框以查看所有字段
| 服务器类型 | 如果身份验证服务器是 Linux/UNIX LDAP 服务器、Active Directory(如果您使用的是 Microsoft Active Directory 服务器),请选择 LDAP。 |
| 授权名称 | 为此外部身份验证机构提供名称。此名称可以是您希望的名称,只有在配置了多个机构时才能区分其他机构。 |
| 提供程序服务器名称 | 此字段应包含 AD 或 LDAP 服务器的完全限定域名 (FQDN)。 |
| 租户 | 可以在可以使用多个身份验证方法和/或必须配置多个机构的环境中使用租户。默认情况下,“默认”租户处于选中状态。使用租户会更改您的登录方法。使用默认租户时,如果使用除默认租户以外的租户,则可以使用“domain\user”登录 NMC,您必须在登录 NMC 时指定“tenant\domain\user”。 |
| 域 | 指定您的完整域名(不包括主机名)。通常,这是您的基本 DN,包含域的域组件 (DC) 值。 |
| 端口号 | 对于 LDAP 和 AD 集成,请使用端口 389。对于 LDAP over SSL,请使用端口 636。这些端口是 AD/LDAP 服务器上的非 NetWorker 默认端口。 |
| User DN | 指定对 LDAP 或 AD 目录具有完全读取访问权限的用户帐户的 可分辨名称 (DN)。如果覆盖在“域”字段中设置的值,请指定用户帐户的相对 DN 或完整 DN。 |
| User DN Password | 指定指定的用户帐户的密码。 |
| 组对象类 | 标识 LDAP 或 AD 层次结构中的组的对象类。
|
| 组搜索路径 | 此字段可以留空,在这种情况下,authc 能够查询完整域。必须授予 NMC/NetWorker 服务器访问权限,然后这些用户/组才能登录 NMC 并管理 NetWorker 服务器。指定域的 相对 路径,而不是完整 DN。 |
| 组名称属性 | 标识组名称的属性。例如, cn。 |
| 组成员属性 | 组中用户的组成员身份。
|
| 用户对象类 | 标识 LDAP 或 AD 层次结构中的用户的对象类。 例如, inetOrgPerson 或 user |
| 用户搜索路径 | 与组搜索路径一样,此字段可以留空,在这种情况下,authc 能够查询完整域。指定域的 相对 路径,而不是完整 DN。 |
| 用户 ID 属性 | 与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
|
例如,Active Directory 集成:
提醒:咨询您的 AD/LDAP 管理员,以确认您的环境需要哪些 AD/LDAP 特定字段。
4) 填充所有字段后,单击 OK 以添加新机构。
5) 您可以在 NetWorker 服务器上使用 authc_mgmt 命令来确认 AD/LDAP 组/用户可见:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
例如:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
提醒:在某些系统上,即使提供了正确的密码,authc 命令也可能失败并显示“错误密码”错误。这是因为密码被指定为带“-p”选项的可见文本。如果您遇到这种情况,请从 命令中删除“-p 密码”。在运行 命令后,系统将提示您输入隐藏的密码。
(DN)。对于需要与默认 NetWorker 管理员帐户相同的级别权限的用户,您还需要在“控制台安全管理员”角色中指定 AD/LDAP 组 DN。对于不需要 NMC 控制台管理权限的用户/组,在“控制台用户”中添加其完整 DN — 外部角色。
提醒:默认情况下,NetWorker 服务器的 LOCAL Administrators 组已有 DN,请勿删除此项。
7) 对于 NMC 中配置的 NetWorker 服务器,还必须应用访问权限。这可以通过两种方式之一完成:
选项 1)
从 NMC 连接 NetWorker 服务器,打开 Server-->User Groups 。打开“应用程序管理员”角色的属性,然后在外部角色字段中输入 AD/LDAP 组的 可分辨名称
(DN)(在步骤 5 中收集)。对于需要与默认 NetWorker 管理员帐户相同的级别权限的用户,您必须在“安全管理员”角色中指定 AD/LDAP 组 DN。
(DN)(在步骤 5 中收集)。对于需要与默认 NetWorker 管理员帐户相同的级别权限的用户,您必须在“安全管理员”角色中指定 AD/LDAP 组 DN。
提醒:默认情况下,NetWorker 服务器的 LOCAL Administrators 组已有 DN,请勿删除此项。
选项 2)
对于要授予管理员权限的 AD 用户/组,可以从 NetWorker 服务器上的 admin 或 root 命令提示符运行 nsraddadmin 命令:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" 示例:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) 使用 AD/LDAP 帐户(例如:域\用户)登录 NMC:
如果使用默认租户以外的租户,则必须在域之前指定它,例如: tenant\domain\user 。
使用的帐户将显示在右上角。用户能够根据 NetWorker 中分配的角色执行操作。
9) 如果您希望 AD/LDAP 组能够管理外部机构,则必须在 NetWorker 服务器上执行以下操作。
9) 如果您希望 AD/LDAP 组能够管理外部机构,则必须在 NetWorker 服务器上执行以下操作。
a) 打开管理/root 命令提示符。
b) 使用 AD 组 DN(在步骤 5 中收集),您想要授予FULL_CONTROL运行权限:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" 例如:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI:如何从 NetWorker Web 用户界面
配置 AD/LDAPNetWorker:如何使用authc_config脚本
设置 LDAP/ADNetWorker:如何配置 LDAPS 身份验证。
配置 AD/LDAPNetWorker:如何使用authc_config脚本
设置 LDAP/ADNetWorker:如何配置 LDAPS 身份验证。