NetWorker:如何从 NetWorker Web 用户界面配置 AD 或 LDAP
Summary: 本文提供有关将 NetWorker 配置为通过 Active Directory (AD) 或轻型目录访问协议 (LDAP) 进行身份验证以使用 NetWorker Web 用户界面 (NWUI) 的说明。
This article applies to
This article does not apply to
Instructions
- 登录到 NetWorker 服务器的 NWUI 界面:
https://<nwservername.domain.com>:9090/nwui - 使用 NetWorker 管理员帐户登录。
- 从菜单中,选择 身份验证服务器>外部机构。
- 从 External Authorities 中,单击 Add。
- 在 Basic Configuration 中:
| Name: | 外部机构提供程序的名称,可根据您的命名标准进行设置。 |
| Server Type: | LDAP: 当身份验证服务器基于 Linux 时,选择 LDAP。 Active Directory:在使用 Microsoft Active Directory 时选择此选项。 LDAP Over SSL (LDAPS):当身份验证服务器是 LDAP 但需要 SSL 时,请选择此选项。 AD Over SSL (LDAPS):在使用 Microsoft Active Directory 但需要 SSL 时选择。
提醒:LDAP 或 AD over SSL 要求将证书手动导入 Auth Trust Store,以确保安全通信。有关更多信息,请参阅 NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“基于 SSL 的 AD”(LDAPS)
|
| Provider Server Name: | 指定身份验证服务提供商的 IP 地址或 FQDN winsrvhost (AD 或 LDAP 服务器)。 |
| Port: | 如果是非 SSL,则使用端口 389,如果是 SSL,则使用端口 636。此字段应从服务器类型选择中自动填充。 |
| Tenant: | *可选:您可以创建多个租户以服务于不同的身份验证提供商。 对于大多数使用情形,默认设置正常。 |
| 域 | 服务提供商的域值 |
| 用户可分辨名称 (DN) | 指定 AD 或 LDAP 绑定帐户的 DN;不包括 DC 值。 |
| User DN Password | 指定绑定帐户用户的密码。 |
显示基本 AD 配置的示例:
- 选中 Advanced Configuration(高级配置 )框,然后单击 Next(下一步)。
- 查看 Advanced Configuration 选项,通常必填字段已预填充标准默认值。这些字段的值可以在 AD 或 LDAP 服务器上标识,或者由域管理员提供(如果使用非标准值)。
- 单击 完成 以完成配置。
- 从 服务器> 用户组 菜单中, 编辑 包含要委派给 AD 或 LDAP 组或用户的权限的用户组。例如,要授予完全管理员权限,应在 应用程序管理员 和安全 管理员角色的外部角色字段中指定 AD 组或用户 DN。
- 在 外部角色下,使用 + 图标添加 AD 用户或组可分辨名称 (DN)
示例:CN=NetWorker_Admins,DC=amer,DC=lan
这也可以从命令行完成:
nsraddadmin -e "AD_DN"示例:
PS C:\Users\Administrator.AMER> nsraddadmin -e "CN=NetWorker_Admins,DC=amer,DC=lan" 134751:nsraddadmin: Added role 'CN=NetWorker_Admins,DC=amer,DC=lan' to the 'Security Administrators' user group. 134751:nsraddadmin: Added role 'CN=NetWorker_Admins,DC=amer,DC=lan' to the 'Application Administrators' user group.
提醒:有关如何收集可分辨名称 (DN) 值的说明,请参阅 “其他信息 ”字段。
- 指定 AD 组或用户 DN 后,单击 Save。
- 您现在应该能够使用 AD 或 LDAP 帐户登录到 NWUI 或 NMC。如果已创建租户,则必须指定
tenant-name\domain.name\user-name如果使用默认租户,则只需指定:domain.name\user-name。
Additional Information
要获取 AD 用户或组 DN,您可以使用以下方法:
打开 Administrator PowerShell 命令并运行:
添加外部机构后,可以在 NetWorker 身份验证服务器上使用以下方法:
查询对 NetWorker 可见的 AD 用户:
在上面的命令中,我们将指定 NetWorker 管理员帐户,系统会提示您输入 NetWorker 管理员密码。
从 AD 服务器:
打开 Administrator PowerShell 命令并运行:
Get-ADUser -Identity AD_USERNAME -Properties DistinguishedName,MemberOf示例:
PS C:\Users\Administrator> Get-ADUser -Identity bkupadmin -Properties DistinguishedName,MemberOf DistinguishedName : CN=Backup Admin,CN=Users,DC=amer,DC=lan Enabled : True GivenName : Backup MemberOf : {CN=NetWorker_Admins,DC=amer,DC=lan} Name : Backup Admin ObjectClass : user ObjectGUID : f37f3ef5-3488-4b53-8844-4fd553ef85b2 SamAccountName : bkupadmin SID : S-1-5-21-3150365795-1515931945-3124253046-9605 Surname : Admin UserPrincipalName : bkupadmin@amer.lan对于用户所属的 AD 组,将显示用户的用户 DN 和组 DN。
从 NetWorker AuthenticationServer:
添加外部机构后,可以在 NetWorker 身份验证服务器上使用以下方法:
查询对 NetWorker 可见的 AD 用户:
authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=TENANT-NAME -D query-domain="DOMAIN.DOMAIN"
查询用户所属的 AD 组:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT-NAME -D query-domain="DOMAIN.DOMAIN" -D user-name=AD-USERNAME
在上面的命令中,我们将指定 NetWorker 管理员帐户,系统会提示您输入 NetWorker 管理员密码。
示例:
nve:~ # authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain="amer.lan" Enter password: The query returns 19 records. User Name Full Dn Name .... bkupadmin CN=Backup Admin,CN=Users,dc=amer,dc=lan nve:~ # authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain="amer.lan" -D user-name=bkupadmin Enter password: The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,dc=amer,dc=lan
如果上述命令未返回预期结果,请确认配置具有正确的参数。例如,在外部机构的高级配置选项卡中指定用户或组搜索路径会限制 NetWorker 只能查看指定搜索路径下的用户和组。不显示搜索路径之外的用户和组。