NetWorker:如何设置 AD/LDAP 验证
Summary: 本知识库文章概述了如何使用 NetWorker Management Console (NMC) 外部机构向导向 NetWorker 添加外部机构。Active Directory (AD) 或 Linux LDAP 身份验证可与默认 NetWorker 管理员帐户或其他本地 NMC 帐户一起使用。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
提醒:对于 AD over SSL 集成,应使用 NetWorker Web 用户界面来配置外部机构。请参阅 NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)。
使用默认 NetWorker 管理员帐户登录 NetWorker 管理控制台 (NMC)。在“设置”选项卡“用户>”和“角色”下,有一个“外部机构”的新选项。
您仍然可以使用authc_config和authc_mgmt命令查询配置以及 AD/LDAP 用户和组;但是,建议使用 NMC 将 AD/LDAP 添加到 NetWorker。
1) 要添加新机构,请右键单击 外部机构 窗口,然后选择 新建 。
2) 在 外部身份验证机构 框中,您必须使用 AD/LDAP 信息填充必填字段。
3) 选中“Show Advanced Options”框以查看所有字段
| 服务器类型 | 如果身份验证服务器是 Linux/UNIX LDAP 服务器、Active Directory(如果您使用的是 Microsoft Active Directory 服务器),请选择 LDAP。 |
| 授权名称 | 为此外部身份验证机构提供名称。此名称可以是您希望的名称,只有在配置了多个机构时才能区分其他机构。 |
| 提供程序服务器名称 | 此字段应包含 AD 或 LDAP 服务器的完全限定域名 (FQDN)。 |
| 租户 | 可以在可以使用多个身份验证方法和/或必须配置多个机构的环境中使用租户。默认情况下,“默认”租户处于选中状态。使用租户会更改您的登录方法。使用默认租户时,如果使用除默认租户以外的租户,则可以使用“domain\user”登录 NMC,您必须在登录 NMC 时指定“tenant\domain\user”。 |
| 域 | 指定您的完整域名(不包括主机名)。通常,这是您的基本 DN,包含域的域组件 (DC) 值。 |
| 端口号 | 对于 LDAP 和 AD 集成,请使用端口 389。对于 LDAP over SSL,请使用端口 636。这些端口是 AD/LDAP 服务器上的非 NetWorker 默认端口。 |
| User DN | 指定对 LDAP 或 AD 目录具有完全读取访问权限的用户帐户的 可分辨名称 (DN)。如果覆盖在“域”字段中设置的值,请指定用户帐户的相对 DN 或完整 DN。 |
| User DN Password | 指定指定的用户帐户的密码。 |
| 组对象类 | 标识 LDAP 或 AD 层次结构中的组的对象类。
|
| 组搜索路径 | 此字段可以留空,在这种情况下,authc 能够查询完整域。必须授予 NMC/NetWorker 服务器访问权限,然后这些用户/组才能登录 NMC 并管理 NetWorker 服务器。指定域的 相对 路径,而不是完整 DN。 |
| 组名称属性 | 标识组名称的属性。例如, cn。 |
| 组成员属性 | 组中用户的组成员身份。
|
| 用户对象类 | 标识 LDAP 或 AD 层次结构中的用户的对象类。 例如, inetOrgPerson 或 user |
| 用户搜索路径 | 与组搜索路径一样,此字段可以留空,在这种情况下,authc 能够查询完整域。指定域的 相对 路径,而不是完整 DN。 |
| 用户 ID 属性 | 与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。
|
例如,Active Directory 集成:
提醒:咨询您的 AD/LDAP 管理员,以确认您的环境需要哪些 AD/LDAP 特定字段。
4) 填充所有字段后,单击 OK 以添加新机构。
5) 您可以在 NetWorker 服务器上使用 authc_mgmt 命令来确认 AD/LDAP 组/用户可见:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
例如:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
提醒:在某些系统上,即使提供了正确的密码,authc 命令也可能失败并显示“错误密码”错误。这是因为密码被指定为带“-p”选项的可见文本。如果您遇到这种情况,请从 命令中删除“-p 密码”。在运行 命令后,系统将提示您输入隐藏的密码。
(DN)。对于需要与默认 NetWorker 管理员帐户相同的级别权限的用户,您还需要在“控制台安全管理员”角色中指定 AD/LDAP 组 DN。对于不需要 NMC 控制台管理权限的用户/组,在“控制台用户”中添加其完整 DN — 外部角色。
提醒:默认情况下,NetWorker 服务器的 LOCAL Administrators 组已有 DN,请勿删除此项。
7) 对于 NMC 中配置的 NetWorker 服务器,还必须应用访问权限。这可以通过两种方式之一完成:
选项 1)
从 NMC 连接 NetWorker 服务器,打开 Server-->User Groups 。打开“应用程序管理员”角色的属性,然后在外部角色字段中输入 AD/LDAP 组的 可分辨名称
(DN)(在步骤 5 中收集)。对于需要与默认 NetWorker 管理员帐户相同的级别权限的用户,您必须在“安全管理员”角色中指定 AD/LDAP 组 DN。
(DN)(在步骤 5 中收集)。对于需要与默认 NetWorker 管理员帐户相同的级别权限的用户,您必须在“安全管理员”角色中指定 AD/LDAP 组 DN。
提醒:默认情况下,NetWorker 服务器的 LOCAL Administrators 组已有 DN,请勿删除此项。
选项 2)
对于要授予管理员权限的 AD 用户/组,可以从 NetWorker 服务器上的 admin 或 root 命令提示符运行 nsraddadmin 命令:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" 示例:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) 使用 AD/LDAP 帐户(例如:域\用户)登录 NMC:
如果使用默认租户以外的租户,则必须在域之前指定它,例如: tenant\domain\user 。
使用的帐户将显示在右上角。用户能够根据 NetWorker 中分配的角色执行操作。
9) 如果您希望 AD/LDAP 组能够管理外部机构,则必须在 NetWorker 服务器上执行以下操作。
9) 如果您希望 AD/LDAP 组能够管理外部机构,则必须在 NetWorker 服务器上执行以下操作。
a) 打开管理/root 命令提示符。
b) 使用 AD 组 DN(在步骤 5 中收集),您想要授予FULL_CONTROL运行权限:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" 例如:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI:如何从 NetWorker Web 用户界面
配置 AD/LDAPNetWorker:如何使用authc_config脚本
设置 LDAP/ADNetWorker:如何配置 LDAPS 身份验证。
配置 AD/LDAPNetWorker:如何使用authc_config脚本
设置 LDAP/ADNetWorker:如何配置 LDAPS 身份验证。
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000156107
Article Type: How To
Last Modified: 10 Oct 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.