Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker:AD/LDAP認証を設定する方法

Summary: このKBでは、NMC(NetWorker Management Console)の外部権限ウィザードを使用してNetWorkerに外部権限を追加する方法の概要について説明します。Active Directory(AD)またはLinux LDAP認証は、デフォルトのNetWorker管理者アカウントまたは他のローカルNMCアカウントと一緒に使用できます。

This article applies to   This article does not apply to 
Check out resources for

Instructions

メモ: AD over SSL統合の場合は、NetWorker Webユーザー インターフェイスを使用して外部機関を構成する必要があります。NetWorkerを参照してください。NETWorker Webユーザー インターフェイス(NWUI)から「AD over SSL」(LDAPS)を構成する方法

デフォルトのNetWorker管理者アカウントを使用して、NMC(NetWorker Management Console)にログインします。[Setup]タブの>[User and Roles]には、[External Authority]の新しいオプションがあります。

 

外部機関リポジトリのNetWorker管理コンソールのセットアップ ウィンドウ
authc_configコマンドとauthc_mgmt コマンドを使用して、構成とAD/LDAPユーザーおよびグループのクエリーを実行できます。ただし、NMCを使用してAD/LDAPをNetWorkerに追加することをお勧めします。
 
1)新しい権限を追加するには、[External Authority]ウィンドウで右クリックし、[New]を選択します。
2)[外部認証機関]ボックスで、AD/LDAP情報を必須フィールドに入力する必要があります。
3)[詳細オプションの表示]ボックスをオンにして、すべてのフィールドを表示します
サーバー タイプ 認証サーバが Linux/UNIX LDAP サーバの場合は LDAP を選択し、Microsoft Active Directory サーバを使用している場合は Active Directory を選択します。
権限名 この外部認証機関の名前を入力します。この名前は、任意の名前にすることができます。複数の権限が構成されている場合は、他の権限を区別するだけです。
プロバイダー サーバー名 このフィールドには、ADまたはLDAPサーバーの完全修飾ドメイン名(FQDN)が含まれている必要があります。
テナント テナントは、複数の認証方法を使用できる環境や、複数の権限を構成する必要がある場合に使用できます。デフォルトでは、「default」テナントが選択されています。テナントを使用すると、ログイン方法が変更されます。デフォルト テナントを使用する場合は、「domain\user」を使用してNMCにログインできます。デフォルト テナント以外のテナントを使用する場合は、NMCにログインするときに「tenant\domain\user」を指定する必要があります。
ドメイン 完全なドメイン名(ホスト名を除く)を指定します。通常、これはドメインのドメイン コンポーネント(DC)値で構成されるベースDNです。 
ポート番号 LDAPおよびAD統合の場合は、ポート389を使用します。LDAP over SSLの場合は、ポート636を使用します。これらのポートは、AD/LDAPサーバー上のNetWorker以外のデフォルト ポートです。
[User DN]: LDAPまたはADディレクトリへの完全な読み取りアクセス権を持つユーザー アカウントのDN(識別名 )を指定します。
ドメイン フィールドで設定された値を上書きする場合は、ユーザー アカウントの相対DN、またはフルDNを指定します。
[User DN Password]: 指定したユーザー アカウントのパスワードを指定します。
グループ オブジェクト クラス LDAPまたはAD階層内のグループを識別するオブジェクト クラス。
  • LDAPの場合は、 groupOfUniqueNames または groupOfNames を使用します。 
    • メモ: groupOfUniqueNamesとgroupOfNames以外にもグループ オブジェクト クラスがあります。  LDAPサーバーで構成されているオブジェクト クラスを使用します。
  • ADの場合は、 group を使用 します
グループ検索パス このフィールドは空白のままにすることができます。この場合、authcはドメイン全体のクエリーを実行できます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理する前に、NMC/NetWorkerサーバー アクセスの権限を付与する必要があります。完全なDNではなく、ドメインへの 相対 パスを指定します。
グループ名属性 グループ名を識別する属性。たとえば、 cn
グループ メンバー属性 グループ内のユーザーのグループ メンバーシップ。
  • LDAPの場合:
    • グループ オブジェクト クラスが groupOfNamesの場合、 属性は一般的に メンバーです
    • グループ オブジェクト クラスが groupOfUniqueNamesの場合、 属性は一般的に 一意のメンバーです
  •  ADの場合、値は一般的に メンバーです。
ユーザー オブジェクト クラス LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。
たとえば、 inetOrgPerson または user
ユーザー検索パス グループ検索パスと同様に、このフィールドは空白のままにすることができます。この場合、authcはドメイン全体のクエリーを実行できます。完全なDNではなく、ドメインへの 相対 パスを指定します。
ユーザーID属性 LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。
  • LDAPの場合、この属性は一般的に uidです
  • ADの場合、この属性は一般的に sAMAccountNameです
たとえば、Active Directoryの統合:
外部機関作成ウィザード
メモ: AD/LDAP管理者に相談して、ご使用の環境に必要なAD/LDAP固有のフィールドを確認します。
 
4)すべてのフィールドが入力されたら、[ OK ]をクリックして新しい権限を追加します。
5)NetWorkerサーバーでauthc_mgmtコマンドを使用して、AD/LDAPグループ/ユーザーが表示されていることを確認できます。 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
例: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
メモ: 一部のシステムでは、正しいパスワードが指定されている場合でも、authcコマンドが「不正なパスワード」エラーで失敗することがあります。これは、パスワードが「-p」オプションで表示可能なテキストとして指定されているためです。この問題が発生した場合は、コマンドから「-p password」を削除します。コマンドを実行した後、非表示のパスワードを入力するように求められます。
 
6)デフォルトのNetWorker管理者アカウントとしてNMCにログインした場合は、 Setup-Users> and Roles-->NMC Roles を開きます。[Console Application Administrators]ロールのプロパティを開き、[External Roles]フィールドにAD/LDAPグループのDN(識別名 )(ステップ5で収集)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「コンソール セキュリティ管理者」ロールでAD/LDAPグループDNを指定する必要もあります。NMCコンソールに対する管理者権限を必要としないユーザー/グループの場合は、「コンソール ユーザー」の外部ロールに完全なDNを追加します。
 
メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これを削除しないでください。

7)NMCで構成されたNetWorkerサーバーごとにアクセス権限も適用する必要があります。これは、オプション1の2つの方法

のいずれかで実行できます。
NMCからNetWorkerサーバーを接続し、 Server-->User Groups を開きます。[アプリケーション管理者]ロールのプロパティを開き、[外部の役割]フィールドにAD/LDAPグループのDN(識別名 )(ステップ5で収集)を入力します。デフォルトのNetWorker管理者アカウントと同じレベルの権限を必要とするユーザーの場合は、「セキュリティ管理者」ロールでAD/LDAPグループDNを指定する必要があります。

メモ: デフォルトでは、NetWorkerサーバーのLOCAL AdministratorsグループのDNがすでに存在します。これを削除しないでください。
 
オプション2)
ADユーザー/グループの場合、nsraddadminコマンドに管理者権限を付与する場合は、NetWorkerサーバーのadminまたはrootコマンド プロンプトから実行できます。 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
例:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8)AD/LDAPアカウント(domain\userなど)を使用してNMCにログインします。
NetWorker管理コンソールADユーザー ログインの例
デフォルトテナント以外のテナントを使用した場合は、ドメインの前にテナントを指定する必要があります(例:tenant\domain\user)。
使用されているアカウントが右上隅に表示されます。ユーザーは、NetWorkerで割り当てられたロールに基づいてアクションを実行できます。

9)AD/LDAPグループが外部機関を管理できるようにするには、NetWorkerサーバーで次の手順を実行する必要があります。
a) 管理/rootコマンド プロンプトを開きます。
b) ADグループDN(ステップ5で収集)を使用して、実行する権限FULL_CONTROL付与します。 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
例:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

NetWorker NWUI:NetWorker Webユーザー インターフェイスからAD/LDAPを構成する方法
Networker:authc_configスクリプトを使用してLDAP/ADをセットアップする方法
Networker:LDAPS認証を構成する方法。

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console