NetWorker:如何設定 AD/LDAP 驗證
Summary: 本知識庫文章概述如何使用 NetWorker 管理主控台 (NMC) 外部授權精靈,為 NetWorker 新增外部授權。Active Directory (AD) 或 Linux LDAP 驗證可與預設的 NetWorker 系統管理員帳戶或其他本機 NMC 帳戶搭配使用。
This article applies to
This article does not apply to
Instructions
注意:若為透過 SSL 整合的 AD,NetWorker Web 使用者介面應用於設定外部授權。請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)。
使用預設的 NetWorker 系統管理員帳戶登入 NetWorker 管理主控台 (NMC)。在[Setup] (設定) 標籤 — > 使用者與角色中,有一個外部授權的新選項。
您仍然可以使用authc_config和authc_mgmt命令來查詢組態和 AD/LDAP 使用者和群組;不過,建議使用 NMC 將 AD/LDAP 新增至 NetWorker。
1) 若要新增授權,請在「外部授權」視窗中按一下滑鼠右鍵,然後選取「New」。
2) 在外部驗證授權方塊中,您必須使用 AD/LDAP 資訊填入必要欄位。
3) 勾選「顯示進階選項」方塊以查看所有欄位
| 伺服器類型 | 如果您使用的是 Microsoft Active Directory 伺服器,如果驗證服務器是 Linux/UNIX LDAP 伺服器,請選取 LDAP。 |
| 授權單位名稱 | 提供此外部驗證授權的名稱。這個名稱可以是任何您想要的名稱,只有在設定多個組態時,才能在其他機關之間有所差異。 |
| 供應商伺服器名稱 | 此欄位應包含 AD 或 LDAP 伺服器的完整功能變數名稱 (FQDN)。 |
| 租戶 | 租使用者可在可以使用一個以上驗證方法的環境中使用,及/或在必須設定多個授權機關時使用。預設選取「預設」租使用者。租戶的使用會改變您的登入方式。使用預設租使用者時,如果使用預設租使用者以外的租使用者,則您可以使用「domain\user」登入 NMC,您登入 NMC 時必須指定「tenant\domain\user」。 |
| 網域 | 指定您的全功能變數名稱 (不含主機名稱)。這通常是您的基本 DN,包含您網域的網域元件 (DC) 值。 |
| 連接埠號碼 | 若為 LDAP 和 AD 整合,請使用埠 389。若為透過 SSL 傳輸的 LDAP,請使用埠 636。這些埠是 AD/LDAP 伺服器上的非 NetWorker 預設埠。 |
| 使用者 DN | 指定具有 LDAP 或 AD 目錄完整讀取權之使用者帳戶的 辨別名稱 (DN)。如果覆寫網域欄位中設定的值,請指定使用者帳戶的相對 DN 或完整 DN。 |
| 使用者 DN 密碼 | 指定指定的使用者帳戶密碼。 |
| 群組物件類別 | 識別 LDAP 或 AD 階層中群組的物件類別。
|
| 群組搜尋路徑 | 此欄位可保留空白,在這種情況下,authc 能夠查詢完整網域。這些使用者/群組必須授予 NMC/NetWorker 伺服器存取權,才能登入 NMC 並管理 NetWorker 伺服器。指定網域的 相對 路徑,而非完整 DN。 |
| 組名屬性 | 識別組名的屬性。例如cn。 |
| 群組成員屬性 | 使用者在群組中的群組成員資格。
|
| 使用者物件類別 | 識別 LDAP 或 AD 階層中使用者的物件類別。 例如, inetOrgPerson 或 使用者 |
| 使用者搜尋路徑 | 如同群組搜尋路徑,此欄位可保留空白,在這種情況下,authc 能夠查詢完整網域。指定網域的 相對 路徑,而非完整 DN。 |
| 使用者 ID 屬性 | 與 LDAP 或 AD 階層中的使用者物件相關聯的使用者 ID。
|
例如,Active Directory 整合:
注意:請諮詢您的 AD/LDAP 管理員,確認您的環境需要哪一個 AD/LDAP 特定欄位。
4) 填入所有欄位後,按一下「OK」以新增授權。
5) 您可以使用 NetWorker 伺服器上的authc_mgmt命令來確認 AD/LDAP 群組/使用者是否可見:
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-users -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups -D query-tenant=tenant_name -D query-domain=domain_name
authc_mgmt -u Administrator -p NetWorker_Admin_Pass -e query-ldap-groups-for-user -D query-tenant=tenant_name -D query-domain=domain_name -D user-name=ad/ldap_username
例如:
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-users -D query-tenant=default -D query-domain=lab.emc.com
The query returns 21 records.
User Name Full Dn Name
Administrator cn=Administrator,cn=Users,dc=lab,dc=emc,dc=com
Guest cn=Guest,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups -D query-tenant=default -D query-domain=lab.emc.com
The query returns 55 records.
Group Name Full Dn Name
Administrators cn=Administrators,cn=Builtin,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
authc_mgmt -u Administrator -p Pa$$w0rd01 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=lab.emc.com -D user-name=bkupadmin
The query returns 5 records.
Group Name Full Dn Name
Domain Admins cn=Domain Admins,cn=Users,dc=lab,dc=emc,dc=com
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com
...
...
注意:在某些系統上,authc 命令可能會失敗,並出現「不正確的密碼」錯誤,即使您輸入的密碼正確亦不正確。這是因為密碼被指定為具有「-p」選項的可見文字。如果您遇到這種情況,請從命令中移除「-p 密碼」。執行命令後,系統會提示您輸入隱藏的密碼。
(DN) (在步驟 5 中收集)。對於需要與預設 NetWorker 系統管理員帳戶相同的層級許可權的使用者,您也需要在「Console Security Administrators」角色中指定 AD/LDAP 群組 DN。對於不需要 NMC 主控台管理許可權的使用者/群組,請在「主控台使用者」中新增完整的 DN ( 外部角色)。
注意:依預設,NetWorker 伺服器的本機系統管理員群組已有 DN,請勿刪除此內容。
7) 在 NMC 中設定的 NetWorker 伺服器也必須套用存取權限。這可以是兩種方式之一:
選項 1)
從 NMC、開放式伺服器 -- > 使用者群組連線 NetWorker 伺服器。開啟「應用程式系統管理員」角色的屬性,並在外部角色欄位中輸入 AD/LDAP 群組的 辨別名稱
(DN) (在步驟 5 中收集)。對於需要與預設 NetWorker 系統管理員帳戶相同的層級許可權的使用者,您必須在「Security Administrators」角色中指定 AD/LDAP 群組 DN。
(DN) (在步驟 5 中收集)。對於需要與預設 NetWorker 系統管理員帳戶相同的層級許可權的使用者,您必須在「Security Administrators」角色中指定 AD/LDAP 群組 DN。
注意:依預設,NetWorker 伺服器的本機系統管理員群組已有 DN,請勿刪除此內容。
選項 2)
若為 AD 使用者/群組,您想要授予 nsraddadmin 命令的管理員許可權,可從 NetWorker 伺服器上的管理員或根命令提示字元執行:
nsraddadmin -e "OU=group,CN=you,CN=want,CN=to,CN=add,DC=domain,DC=local" 範例:
nsraddadmin -e "CN=NetWorker_Admins,CN=Users,DC=lab,DC=emc,DC=com"
8) 使用 AD/LDAP 帳戶 (例如:domain\user) 登入 NMC:
如果使用預設租使用者以外的租使用者,您必須在網域之前指定,例如:tenant\domain\user。
使用的帳戶會顯示在右上角。使用者可根據 NetWorker 中指定的角色執行動作。
9) 如果您希望 AD/LDAP 群組能夠管理外部機關,您必須在 NetWorker 伺服器上執行下列工作。
9) 如果您希望 AD/LDAP 群組能夠管理外部機關,您必須在 NetWorker 伺服器上執行下列工作。
a) 開啟系統管理/根命令提示字元。
b) 使用 AD 群組 DN (在步驟 5 中收集), 您想要授予FULL_CONTROL執行許可權:
authc_config -u Administrator -p NetWorker_Admin_Pass -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD/LDAP_group_dn" 例如:
authc_config -u Administrator -p Pa$$w0rd01 -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="cn=NetWorker_Admins,cn=Users,dc=lab,dc=emc,dc=com"
Permission FULL_CONTROL is created successfully.
authc_config -u Administrator -p Pa$$w0rd01 -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL cn=NetWorker_Admins,cn=Users,dc=lab,...
Additional Information
NetWorker NWUI:如何從 NetWorker Web 使用者介面
設定 AD/LDAPNetWorker:如何使用authc_config腳本
設定 LDAP/ADNetWorker:如何設定 LDAPS 驗證。
設定 AD/LDAPNetWorker:如何使用authc_config腳本
設定 LDAP/ADNetWorker:如何設定 LDAPS 驗證。