Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

NetWorker: Slik konfigurerer du AD/LDAP-godkjenning

Summary: Denne KB-en gir en oversikt over hvordan du legger til ekstern myndighet i NetWorker ved hjelp av veiviseren for eksterne fullmakter fra NetWorker Management Console (NMC). Active Directory-godkjenning (AD) eller Linux LDAP kan brukes sammen med standard NetWorker Administrator-konto eller andre lokale NMC-kontoer. ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

MERK: For AD over SSL-integreringer bør NetWorker Web User Interface brukes til å konfigurere den eksterne myndigheten. Se NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI).

Logg på NetWorker Management Console (NMC) med standard NetWorker Administrator-konto. På fanen Setup (Oppsett) –> Bruker og Roller finnes det et nytt alternativ for External Authority (Ekstern myndighet).

 

Oppsettsvindu for NetWorker Management Console for eksternt myndighetsrepositorium
Du kan likevel bruke kommandoene authc_config og authc_mgmt for spørring av konfigurasjoner og AD/LDAP-brukere og -grupper. Det anbefales imidlertid å bruke NMC til å legge til AD/LDAP i NetWorker.
 
1) Hvis du vil legge til en ny autoritet,høyreklikker du i vinduet Eksterne myndigheter og velger Ny.
2) I boksen External Authentication Authority (Ekstern godkjenningsinstans) må du fylle ut de nødvendige feltene med AD/LDAP-informasjon.
3) Merk av i boksen «Vis avanserte alternativer» for å se alle feltene
Servertype Velg LDAP hvis godkjenningsserveren er en Linux/UNIX LDAP-server, Active Directory hvis du bruker en Microsoft Active Directory-server.
Navn på autoritet Oppgi et navn for denne eksterne godkjenningsinstansen. Dette navnet kan være det du vil at det skal være, men det er bare å skille mellom andre myndigheter når flere er konfigurert.
Leverandørservernavn Dette feltet skal inneholde det fullt kvalifiserte domenenavnet (FQDN) til AD- eller LDAP-serveren.
Leietaker Leietakere kan brukes i miljøer der mer enn én godkjenningsmetode kan brukes og/eller når flere myndigheter må konfigureres. Som standard er standardleietakeren valgt. Bruken av leietakere endrer påloggingsmetoden. Når standardleietakeren brukes, kan du logge på NMC ved hjelp av «domene\bruker» hvis en annen leietaker enn standardleietaker brukes, må du angi «tenant\domain\user» når du logger på NMC.
Domene Angi hele domenenavnet ditt (unntatt et vertsnavn). Dette er vanligvis den grunnleggende DN-en som består av domenekomponentverdiene (DC) for domenet ditt. 
Portnummer For LDAP- og AD-integrering bruker du port 389. For LDAP over SSL bruker du port 636. Disse portene er ikke-NetWorker-standardporter på AD/LDAP-serveren.
Bruker-DN Angi det unike navnet (DN) til en brukerkonto som har full lesetilgang til LDAP- eller AD-katalogen.
Angi den relative DN-en til brukerkontoen, eller hele DN hvis verdien som er angitt i domenefeltet, overstyres.
Bruker-DN-passord Angi passordet til den angitte brukerkontoen.
Gruppeobjektklasse Objektklassen som identifiserer grupper i LDAP- eller AD-hierarkiet.
  • For LDAP bruker du groupOfUniqueNames eller groupOfNames
    • Merk: Det finnes andre gruppeobjektklasser bortsett fra groupOfUniqueNames og groupOfNames.  Bruk objektklassen som er konfigurert i LDAP-serveren.
  • Bruk gruppe for AD.
Gruppesøkebane Dette feltet kan stå tomt i så fall authc kan spørre hele domenet. Tillatelser må gis for NMC/NetWorker-servertilgang før disse brukerne/gruppene kan logge på NMC og administrere NetWorker-serveren. Angi den relative banen til domenet i stedet for full DN.
Attributt for gruppenavn Attributtet som identifiserer gruppenavnet. For eksempel cn.
Gruppemedlemsattributtet Gruppemedlemskapet til brukeren i en gruppe.
  • For LDAP:
    • Når gruppeobjektklassen er groupOfNames , er attributtet ofte medlem.
    • Når gruppeobjektklassen er groupOfUniqueNames , er attributtet vanligvis unikt.
  •  For AD er verdien vanligvis medlem.
Brukerobjektklasse Objektklassen som identifiserer brukerne i LDAP- eller AD-hierarkiet.
For eksempel inetOrgPerson eller bruker
Brukersøkebane På samme måte som Gruppesøkebane kan dette feltet stå tomt i så fall authc kan spørre hele domenet. Angi den relative banen til domenet i stedet for full DN.
Bruker-ID-attributt Bruker-ID-en som er tilknyttet brukerobjektet i LDAP- eller AD-hierarkiet.
  • For LDAP er dette attributtet vanligvis uid.
  • For AD er dette attributtet vanligvis sAMAccountName.
For eksempel Active Directory-integrering:
Veiviser for oppretting av eksterne fullmakter
MERK: Kontakt AD/LDAP-administratoren for å bekrefte hvilke AD/LDAP-spesifikke felt som er nødvendige for miljøet ditt.
 
4) Når alle feltene er fylt ut, klikker du på OK for å legge til den nye myndigheten.
5) Du kan bruke kommandoen authc_mgmt på NetWorker-serveren til å bekrefte at AD/LDAP-gruppene/brukerne er synlige: 
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
F.eks: 
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name      Full Dn Name
Administrator  cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest          cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name                              Full Dn Name
Administrators                          cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins                        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...

authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name              Full Dn Name
Domain Admins           cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins        cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
MERK: På noen systemer kan det hende at authc-kommandoene mislykkes med feil passordfeil, selv når det riktige passordet er angitt. Dette skyldes at passordet er angitt som synlig tekst med alternativet "-p". Hvis du støter på dette, fjerner du «-p password» fra kommandoene. Du blir bedt om å angi passordet skjult etter at du har kjørt kommandoen.
 
6) Når du er logget på NMC som standard NetWorker Administrator-konto>, åpner du Oppsett – Brukere og Roller – NMC-roller>. Åpne egenskapene til rollen "Console Application Administrators" (Konsollapplikasjonsadministratorer), og angi Distinguished Name (DN) for en AD/LDAP-gruppe (samlet i trinn 5) i feltet eksterne roller. For brukere som krever tillatelser på samme nivå som standard NetWorker Administrator-konto, må du også angi AD/LDAP group DN i rollen Console Security Administrators (Konsollsikkerhetsadministratorer). For brukere/grupper som ikke trenger administrative rettigheter til NMC-konsollen, legger du til hele DN-en i "Console User" (Konsollbruker) – eksterne roller.
 
MERK: Som standard er det allerede DN for NetWorker-serverens LOKALE administratorgruppe, IKKE slett dette.

7) Tilgangstillatelser må også brukes per NetWorker-server som er konfigurert i NMC. Dette kan gjøres på én av to måter:

alternativ 1)
Koble NetWorker-serveren> fra NMC, åpne serverbrukergrupper. Åpne egenskapene til rollen «Application Administrators» (Applikasjonsadministratorer), og angi Distinguished Name (DN) (Unikt navn ) for en AD/LDAP-gruppe (samlet i trinn 5) i feltet eksterne roller. For brukere som krever tillatelser på samme nivå som standard NetWorker Administrator-konto, må du angi gruppe-DN for AD/LDAP-gruppen i rollen Security Administrators (Sikkerhetsadministratorer).

MERK: Som standard er det allerede DN for NetWorker-serverens LOKALE administratorgruppe, IKKE slett dette.
 
Alternativ 2)
For AD-brukere/-grupper kan du kjøre administratorrettigheter til nsraddadmin-kommandoen fra en ledetekst for administrator- eller rotkommando på NetWorker-serveren: 
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local"
eksempel:  
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"

8) logg på NMC ved hjelp av AD/LDAP-kontoen din (f.eks. domene\bruker):
NetWorker Management Console AD-brukerpåloggingseksempel
Hvis en annen leietaker enn standardleietaker ble brukt, må du angi den før domenet, f.eks. leietaker\domene\bruker.
Kontoen som brukes, vises øverst til høyre. Brukeren kan utføre handlinger basert på rollene som er tilordnet i NetWorker.

9) Hvis du vil at en AD/LDAP-gruppe skal kunne administrere eksterne myndigheter, må du utføre følgende på NetWorker-serveren.
a) Åpne en ledetekst for administrasjon/rot.
b) Ved hjelp av AD-gruppe-DN (samlet i trinn 5) vil du gi FULL_CONTROL tillatelse til å kjøre: 
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn"
F.eks:  
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.

authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    cn=NetWorker_Admins,cn=Users,dc=lab,...

Additional Information

NetWorker NWUI: Slik konfigurerer du AD/LDAP fra NetWorker Web User Interface
Networker: Slik konfigurerer du LDAP/AD ved hjelp av authc_config skript
Networker: Slik konfigurerer du LDAPS-godkjenning.

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console