NetWorker: AD/LDAP-authenticatie instellen
Summary: Dit KB-artikel biedt een overzicht voor het toevoegen van externe autoriteit aan NetWorker met behulp van de wizard Externe autoriteit van de NetWorker Management Console (NMC). Active Directory (AD) of Linux LDAP-authenticatie kan worden gebruikt naast het standaard NetWorker Administrator-account of andere lokale NMC-accounts. ...
This article applies to
This article does not apply to
Instructions
OPMERKING: Voor AD over SSL-integraties moet de NetWorker Web User Interface worden gebruikt om de externe autoriteit te configureren. Zie NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI).
Meld u aan bij de NetWorker Management Console (NMC) met het standaard NetWorker Administrator-account. Op het tabblad Setup -->User and Roles is er een nieuwe optie voor External Authority.
U kunt nog steeds de opdrachten authc_config en authc_mgmt gebruiken voor het opvragen van query's op configuraties en AD/LDAP-gebruikers en -groepen. Het wordt echter aanbevolen om de NMC te gebruiken om AD/LDAP toe te voegen aan NetWorker.
1) Als u een nieuwe autoriteitwilt toevoegen, klikt u met de rechtermuisknop in het venster Externe autoriteit en selecteert u Nieuw.
2) In het vak External Authentication Authority moet u de vereiste velden met uw AD/LDAP-informatie invullen.
3) Schakel het selectievakje 'Geavanceerde opties weergeven' in om alle velden weer te geven
| Servertype | Selecteer LDAP als de authenticatieserver een Linux/UNIX LDAP-server is, Active Directory als u een Microsoft Active Directory-server gebruikt. |
| Naam autoriteit | Geef een naam op voor deze externe verificatieautoriteit. Deze naam kan zijn wat u wilt dat het is, het is alleen om onderscheid te maken tussen andere instanties wanneer er meerdere zijn geconfigureerd. |
| Naam providerserver | Dit veld moet de Fully Qualified Domain Name (FQDN) van uw AD- of LDAP-server bevatten. |
| Huurder | Tenants kunnen worden gebruikt in omgevingen waar meer dan één verificatiemethode kan worden gebruikt en/of wanneer meerdere instanties moeten worden geconfigureerd. De 'standaard'-tenant is standaard geselecteerd. Het gebruik van tenants wijzigt uw aanmeldingsmethode. Wanneer de standaard tenant wordt gebruikt, kunt u zich aanmelden bij de NMC met behulp van 'domein\gebruiker' als een andere tenant dan de standaard tenant wordt gebruikt, moet u 'tenant\domain\user' opgeven bij het aanmelden bij de NMC. |
| Domein | Geef uw volledige domeinnaam op (exclusief een hostnaam). Dit is meestal uw basis-DN die bestaat uit de waarden van uw domeincomponent (DC) van uw domein. |
| Poortnummer | Gebruik poort 389 voor LDAP- en AD-integratie. Gebruik voor LDAP via SSL poort 636. Deze poorten zijn niet-NetWorker standaardpoorten op de AD/LDAP-server. |
| Gebruikers-DN | Geef de Distinguished Name (DN) op van een gebruikersaccount met volledige leestoegang tot de LDAP- of AD-directory.Geef het relatieve DN van het gebruikersaccount of de volledige DN op als de waarde wordt overschreven die is ingesteld in het veld Domein. |
| DN-wachtwoord gebruiker | Geef het wachtwoord op van het opgegeven gebruikersaccount. |
| Groepsobjectklasse | De objectklasse die groepen identificeert in de LDAP- of AD-hiërarchie.
|
| Zoekpad voor groepen | Dit veld kan leeg worden gelaten in welk geval authc een query kan uitvoeren op het volledige domein. Machtigingen moeten worden verleend voor NMC/NetWorker-servertoegang voordat deze gebruikers/groepen zich kunnen aanmelden bij de NMC en de NetWorker-server kunnen beheren. Geef het relatieve pad naar het domein op in plaats van het volledige DN. |
| Kenmerk Groepsnaam | Het kenmerk dat de groepsnaam identificeert. Bijvoorbeeld cn. |
| Kenmerk groepslid | Het groepslidmaatschap van de gebruiker binnen een groep.
|
| Gebruikersobjectklasse | De objectklasse die de gebruikers in de LDAP- of AD-hiërarchie identificeert. Bijvoorbeeld inetOrgPerson of gebruiker |
| Zoekpad gebruiker | Net als het zoekpad voor groepen kan dit veld leeg worden gelaten in welk geval authc een query kan uitvoeren op het volledige domein. Geef het relatieve pad naar het domein op in plaats van het volledige DN. |
| Kenmerk gebruikers-ID | De gebruikers-ID die is gekoppeld aan het gebruikersobject in de LDAP- of AD-hiërarchie.
|
Bijvoorbeeld: Active Directory-integratie:
OPMERKING: Neem contact op met uw AD/LDAP-beheerder om te controleren welke AD/LDAP-specifieke velden nodig zijn voor uw omgeving.
4) Zodra alle velden zijn ingevuld, klikt u op OK om de nieuwe autoriteit toe te voegen.
5) U kunt de opdracht authc_mgmt op uw NetWorker server gebruiken om te bevestigen dat de AD/LDAP-groepen/gebruikers zichtbaar zijn:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
Bijvoorbeeld:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
OPMERKING: Op sommige systemen mislukken de authc-opdrachten met een foutmelding 'incorrect password', zelfs wanneer het juiste wachtwoord wordt gegeven. Dit komt doordat het wachtwoord wordt opgegeven als zichtbare tekst met de optie "-p". Als u dit tegenkomt, verwijdert u '-p password' uit de opdrachten. U wordt gevraagd om het wachtwoord in te voeren dat verborgen is na het uitvoeren van de opdracht.
(DN) van een AD/LDAP-groep (verzameld in stap 5) in het veld externe rollen in. Voor gebruikers die machtigingen op hetzelfde niveau nodig hebben als het standaard NetWorker Administrator-account, moet u ook de AD/LDAP-groep DN opgeven in de rol 'Console Security Administrators'. Voor gebruikers/groepen die geen beheerdersrechten nodig hebben voor de NMC Console, voegt u hun volledige DN toe in de externe rollen van de consolegebruiker.
OPMERKING: Er is standaard al de DN van de LOKALE beheerdersgroep van de NetWorker server. Verwijder dit NIET.
7) Toegangsrechten moeten ook worden toegepast per NetWorker-server die is geconfigureerd in de NMC. U kunt dit op twee manieren doen:
optie 1)
Sluit de NetWorker-server aan vanaf de NMC, open Server-->User Groups. Open de eigenschappen van de rol 'Application Administrators' en voer de Distinguished Name
(DN) van een AD/LDAP-groep (verzameld in stap 5) in het veld externe rollen in. Voor gebruikers die machtigingen op hetzelfde niveau nodig hebben als het standaard NetWorker Administrator-account, moet u de AD/LDAP-groep DN opgeven in de rol 'Security Administrators'.
(DN) van een AD/LDAP-groep (verzameld in stap 5) in het veld externe rollen in. Voor gebruikers die machtigingen op hetzelfde niveau nodig hebben als het standaard NetWorker Administrator-account, moet u de AD/LDAP-groep DN opgeven in de rol 'Security Administrators'.
OPMERKING: Er is standaard al de DN van de LOKALE beheerdersgroep van de NetWorker server. Verwijder dit NIET.
Optie 2)
Voor AD-gebruikers/groepen die u beheerdersrechten wilt verlenen voor de opdracht nsraddadmin kunt u uitvoeren vanaf een opdrachtprompt van een administrator of hoofdgebruiker op de NetWorker-server:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" Voorbeeld:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) Meld u aan bij de NMC met uw AD/LDAP-account (bijv.: domein\gebruiker):
Als een andere tenant dan de standaard tenant is gebruikt, moet u deze opgeven vóór het domein, bijvoorbeeld: tenant\domain\user.
Het account dat wordt gebruikt, wordt weergegeven in de rechterbovenhoek. De gebruiker heeft de mogelijkheid om acties uit te voeren op basis van de rollen die zijn toegewezen in NetWorker.
9) Als u wilt dat een AD/LDAP-groep externe instanties kan beheren, moet u het volgende uitvoeren op de NetWorker-server.
9) Als u wilt dat een AD/LDAP-groep externe instanties kan beheren, moet u het volgende uitvoeren op de NetWorker-server.
a) Open een opdrachtprompt voor beheer/root.
b) Met behulp van de AD-groep DN (verzameld in stap 5) wilt u FULL_CONTROL toestemming verlenen om uit te voeren:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" Bijvoorbeeld:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI: AD/LDAP configureren vanuit de NetWorker Web User Interface
Networker: LDAP/AD instellen met behulp van authc_config scripts
Networker: LDAPS-authenticatie configureren.
Networker: LDAP/AD instellen met behulp van authc_config scripts
Networker: LDAPS-authenticatie configureren.