NetWorker: AD-/LDAP-todennuksen määrittäminen
Summary: Tässä tietämyskannan artikkelissa on yleistietoja siitä, miten ulkoisia valtuuksia lisätään NetWorkeriin NetWorker Management Consolen (NMC) ohjatulla ulkoisen varmennuksen toiminnolla. Active Directory (AD)- tai Linux LDAP -todennusta voi käyttää oletusarvoisen NetWorker Administrator -tilin tai muiden paikallisten NMC-tilien rinnalla. ...
This article applies to
This article does not apply to
Instructions
HUOMAUTUS: Jos kyseessä on AD over SSL -integrointi, ulkoisten varmennusasemien määrittämiseen on käytettävä NetWorker-verkkokäyttöliittymää. Katso NetWorker: AD over SSL:n (LDAPS) määrittäminen NetWorker-verkkokäyttöliittymässä (NWUI).
Kirjaudu networker-hallintakonsoliin (NMC) oletusarvoisella NetWorker Administrator -tilillä. Setup (Asetukset) -välilehdessä> User and Roles (Käyttäjä ja roolit) on uusi asetus External Authority (Ulkoinen valvoja).
Authc_config- ja authc_mgmt-komennoilla voi silti tehdä kyselyjä kokoonpanoihin sekä AD-/LDAP-käyttäjiin ja -ryhmiin; On kuitenkin suositeltavaa lisätä AD/LDAP NetWorkeriin NMC:n avulla.
1) Lisää uusi authoritynapsauttamalla hiiren kakkospainikkeella External Authority -ikkunaa ja valitsemalla New.
2) Lisää External Authentication Authority (Ulkoisen todennuksen myöntäjä) -kenttään tarvittavat kentät AD-/LDAP-tiedoillasi.
3) Tarkista kaikki kentät Valitsemalla Näytä lisäasetukset -valintaruutu
| Palvelimen tyyppi | Valitse LDAP, jos todennuspalvelin on Linux-/UNIX LDAP -palvelin, Active Directory, jos käytät Microsoft Active Directory -palvelinta. |
| Myöntäjän nimi | Anna tälle ulkoiselle todennuksen myöntäjälle nimi. Nimi voi olla haluamasi, eli se erottuu muista myöntäjästä vain, kun useita on määritetty. |
| Provider Server Name | Tässä kentässä pitäisi olla AD- tai LDAP-palvelimen täydellinen toimialuenimi (FQDN). |
| Vuokralainen | Vuokraajaa voidaan käyttää ympäristöissä, joissa voidaan käyttää useaa todennusmenetelmää ja/tai kun on määritettävä useita varmenteet. Oletusvuokraaja on valittu. Vuokralaisten käyttö muuttaa kirjautumistapaa. Kun oletusvuokraaja on käytössä, voit kirjautua NMC:hen toimialue\käyttäjä-komennolla, jos käytössä on jokin muu vuokralainen kuin oletusvuokralainen. Kun kirjaudut NMC:hen, sinun on määritettävä tenant\domain\user. |
| Domain | Määritä koko toimialuenimesi (ei isäntänimeä). Tämä on tavallisesti toimialueesi DN-perusnumero, joka koostuu toimialueesi toimialueen komponenttiarvoista. |
| Portin numero | Käytä LDAP- ja AD-integroinnissa porttia 389. Käytä LDAP over SSL -portissa porttia 636. Nämä portit eivät ole NetWorkerin oletusportteja AD/LDAP-palvelimessa. |
| Käyttäjän DN | Määritä sellaisen käyttäjätilin DN-nimi , jolla on täydet luku oikeudet LDAP- tai AD-hakemistoon.Määritä käyttäjätilin suhteellinen DN-kirjain tai koko DN, jos ohitat Domain-kentässä määritetyn arvon. |
| Käyttäjän DN-salasana | Määritä määritetyn käyttäjätilin salasana. |
| Ryhmäobjektiluokka | Objektiluokka, joka tunnistaa LDAP- tai AD-hierarkian ryhmiä.
|
| Ryhmän hakupolku | Tämä kenttä voidaan jättää tyhjäksi, jolloin authc pystyy kyselemään koko toimialuetta. NMC-/NetWorker-palvelimen käyttöoikeuksilla on oltava käyttöoikeudet, ennen kuin nämä käyttäjät/ryhmät voivat kirjautua NMC:hen ja hallita NetWorker-palvelinta. Määritä toimialueen suhteellinen polku täyden DN-polun sijasta. |
| Ryhmän nimimäärite | Määritteen, joka ilmaisee ryhmän nimen. esimerkki : cn. |
| Ryhmän jäsenmäärite | Ryhmän käyttäjän ryhmäjäsenyys.
|
| User Object Class | Objektiluokka, joka tunnistaa käyttäjät LDAP- tai AD-hierarkiassa. kuten inetOrgPerson tai käyttäjä |
| Käyttäjän hakupolku | Ryhmähakupolun tavoin tämä kenttä voidaan jättää tyhjäksi, jolloin authc pystyy kyselemään koko toimialuetta. Määritä toimialueen suhteellinen polku täyden DN-polun sijasta. |
| Käyttäjätunnusmäärite | Käyttäjätunnus, joka liittyy käyttäjäobjektiin LDAP- tai AD-hierarkiassa.
|
Esimerkki Active Directory -integroinnista:
HUOMAUTUS: Pyydä AD-/LDAP-järjestelmänvalvojaa tarkistamaan, mitkä AD- tai LDAP-kentät tarvitaan ympäristöösi.
4) Kun kaikki kentät on täytetty, lisää uusi varaaja valitsemalla OK.
5) Voit tarkistaa NetWorker-palvelimen authc_mgmt-komennolla, että AD-/LDAP-ryhmät/-käyttäjät näkyvät:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Esim:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
HUOMAUTUS: Joissakin järjestelmissä authc-komennot saattavat epäonnistua ja näyttää virheellisen salasanan virheen, vaikka oikea salasana on annettu. Tämä johtuu siitä, että salasana määritetään näkyväksi tekstiksi ja valitaan -p. Jos näet tämän, poista komentojen -p-salasana. Saat kehotteen kirjoittaa piilotettu salasana komennon suorittamisen jälkeen.
(DN) External Roles -kenttään. Jos käyttäjä tarvitsee saman tason käyttöoikeudet kuin oletusarvoinen NetWorker-järjestelmänvalvojatili, AD/LDAP-ryhmän DN on määritettävä konsolin suojausjärjestelmänvalvojat-rooliin. Jos käyttäjä tai ryhmä ei tarvitse NMC-konsolin järjestelmänvalvojan oikeuksia, lisää täysi DN-nimen konsolikäyttäjän ulkoiseen rooliin.
HUOMAUTUS: NetWorker-palvelimen LOCAL Administrators -ryhmässä on jo oletusarvoisesti DN. ÄLÄ poista tätä.
7) Käyttöoikeudet on myös otettava käyttöön NMC:ssä määritettyä NetWorker-palvelinta kohden. Tämä voidaan tehdä kahdella tavalla:
vaihtoehto 1)
Yhdistä NetWorker-palvelin NMC:hen ja avaa palvelin-käyttäjäryhmät>. Avaa Application Administrators -roolin ominaisuudet ja kirjoita vaiheessa 5 kerätyn AD-/LDAP-ryhmän Distinguished Name
(DN) External Roles -kenttään. Jos käyttäjä tarvitsee saman tason käyttöoikeudet kuin oletusarvoinen NetWorker-järjestelmänvalvojatili, AD/LDAP-ryhmän DN on määritettävä Security Administrators -rooliin.
(DN) External Roles -kenttään. Jos käyttäjä tarvitsee saman tason käyttöoikeudet kuin oletusarvoinen NetWorker-järjestelmänvalvojatili, AD/LDAP-ryhmän DN on määritettävä Security Administrators -rooliin.
HUOMAUTUS: NetWorker-palvelimen LOCAL Administrators -ryhmässä on jo oletusarvoisesti DN. ÄLÄ poista tätä.
Vaihtoehto 2)
Jos AD-käyttäjä/-ryhmä haluaa myöntää järjestelmänvalvojan oikeudet nsradadimin-komentoon, se voidaan suorittaa NetWorker-palvelimen järjestelmänvalvoja- tai pääkomentokehotteessa:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" Esimerkki:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) kirjaudu NMC:hen AD-/LDAP-tililläsi (esim. toimialue\käyttäjä):
Jos käytössä on jokin muu vuokralainen kuin oletusvuokraaja, se on määritettävä ennen toimialuetta, esimerkiksi tenant\domain\user.
Käytettävä tili näkyy oikeassa yläkulmassa. Käyttäjä voi suorittaa toimia NetWorkerissa määritettyjen roolien perusteella.
9) Jos haluat, että AD- tai LDAP-ryhmä pystyy hallinnoimaan ulkoisia tahoja, toimi seuraavasti NetWorker-palvelimessa.
9) Jos haluat, että AD- tai LDAP-ryhmä pystyy hallinnoimaan ulkoisia tahoja, toimi seuraavasti NetWorker-palvelimessa.
a) Avaa komentokehote järjestelmänvalvojana/pääkäyttäjänä.
b) Jos käytät vaiheessa 5 kerättyä AD-ryhmän DN-levyä, haluat myöntää FULL_CONTROL käyttöoikeuden:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Esim:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: AD:n/LDAP:n määrittäminen NetWorker-verkkokäyttöliittymässä
Verkottaja: LDAP:n/AD:n määrittäminen authc_config-komentosarkoilla
Verkottaja: LDAPS-todennuksen määrittäminen.
Verkottaja: LDAP:n/AD:n määrittäminen authc_config-komentosarkoilla
Verkottaja: LDAPS-todennuksen määrittäminen.