NetWorker:如何從 NetWorker Web 使用者介面設定 AD 或 LDAP
Summary: 本文提供透過 Active Directory (AD) 或輕量型目錄存取通訊協定 (LDAP) 設定 NetWorker 進行驗證的指示,以使用 NetWorker Web 使用者介面 (NWUI)。
This article applies to
This article does not apply to
Instructions
- 登入 NetWorker 伺服器的 NWUI 介面:
https://<nwservername.domain.com>:9090/nwui - 使用 NetWorker 系統管理員帳戶登入。
- 從功能表中,選取 驗證伺服器>外部授權。
- 在 外部授權中,按 一下新增。
- 從基本組態:
| 名稱: | 外部授權供應商的名稱,可以根據您的命名標準進行設置。 |
| 伺服器類型: | LDAP:當驗證伺服器以 Linux 為基礎時,請選取 LDAP。 Active Directory:使用 Microsoft Active Directory 選取此選項。 LDAP Over SSL (LDAPS):當驗證伺服器為 LDAP,但需要 SSL 時,請選取此資訊。 AD Over SSL (LDAPS):選取何時使用 Microsoft Active Directory,但需要 SSL。
注意:LDAP 或 AD over SSL 需要將憑證手動匯入至驗證信任存放區,以確保安全通訊。如需更多資訊,請參閱 NetWorker:如何從 NetWorker Web 使用者介面 (NWUI) 設定「AD over SSL」(LDAPS)
|
| 供應商伺服器名稱: | 指定驗證服務提供者的 IP 位址或 FQDN winsrvhost (AD 或 LDAP 伺服器)。 |
| 連接埠: | 如果是非 SSL,則會使用連接埠 389,如果是 SSL,則會使用連接埠 636。此欄位應從伺服器類型選擇自動填入。 |
| 租戶: | *選用:您可以建立多個租用戶,為不同的驗證供應商提供服務。 在大多數用例中,預設值很好。 |
| 網域 | 服務提供者的網域值 |
| 使用者辨別名稱 (DN) | 指定 AD 或 LDAP 綁定帳戶的 DN;不包括 DC 值。 |
| 使用者 DN 密碼 | 指定綁定帳戶使用者的密碼。 |
顯示基本 AD 組態的範例:
- 勾選 進階組態 方塊,然後按一下 下一步。
- 檢閱 進階組態 選項,通常所需欄位會預先填入標準預設值。這些欄位的值可以在 AD 或 LDAP 伺服器上識別,或者如果使用非標準值,則由網域管理員提供。
- 按一下 完成 以完成組態。
- 從 伺服器> 使用者群組 功能表中, 編輯 包含您要委派給 AD 或 LDAP 群組或使用者權限的使用者群組。例如,要授予完全管理員許可權,應在 應用程式管理員 和安全 管理員角色的外部角色欄位中指定 AD 組或使用者 DN。
- 在 「外部角色」下,使用 + 圖示新增 AD 使用者或群組辨別名稱 (DN)
範例:CN=NetWorker_Admins,DC=amer,DC=lan
這也可以從命令列完成:
nsraddadmin -e "AD_DN"範例:
PS C:\Users\Administrator.AMER> nsraddadmin -e "CN=NetWorker_Admins,DC=amer,DC=lan" 134751:nsraddadmin: Added role 'CN=NetWorker_Admins,DC=amer,DC=lan' to the 'Security Administrators' user group. 134751:nsraddadmin: Added role 'CN=NetWorker_Admins,DC=amer,DC=lan' to the 'Application Administrators' user group.
注意:有關如何收集可分辨名稱 (DN) 值的說明,請參閱 其他資訊 欄位。
- 指定 AD 群組或使用者 DN 後,請按 一下儲存。
- 您現在應該可以使用 AD 或 LDAP 帳戶登入 NWUI 或 NMC。如果已建立租戶,則必須指定
tenant-name\domain.name\user-name如果使用預設租戶,則只需指定domain.name\user-name。
Additional Information
若要獲取 AD 使用者或組 DN,可以使用以下方法:
開啟系統管理員 PowerShell 命令並執行:
新增外部授權後,即可在 NetWorker 驗證伺服器上使用下列方法:
NetWorker 可查詢 AD 使用者:
在上述命令中,我們指定了 NetWorker 系統管理員帳戶,系統會提示您輸入 NetWorker 系統管理員密碼。
從 AD 伺服器:
開啟系統管理員 PowerShell 命令並執行:
Get-ADUser -Identity AD_USERNAME -Properties DistinguishedName,MemberOf範例:
PS C:\Users\Administrator> Get-ADUser -Identity bkupadmin -Properties DistinguishedName,MemberOf DistinguishedName : CN=Backup Admin,CN=Users,DC=amer,DC=lan Enabled : True GivenName : Backup MemberOf : {CN=NetWorker_Admins,DC=amer,DC=lan} Name : Backup Admin ObjectClass : user ObjectGUID : f37f3ef5-3488-4b53-8844-4fd553ef85b2 SamAccountName : bkupadmin SID : S-1-5-21-3150365795-1515931945-3124253046-9605 Surname : Admin UserPrincipalName : bkupadmin@amer.lan使用者的使用者 DN 和組 DN 都會顯示為其所屬的 AD 組。
從 NetWorker AuthenticationServer:
新增外部授權後,即可在 NetWorker 驗證伺服器上使用下列方法:
NetWorker 可查詢 AD 使用者:
authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=TENANT-NAME -D query-domain="DOMAIN.DOMAIN"
查詢使用者所屬的 AD 群組:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT-NAME -D query-domain="DOMAIN.DOMAIN" -D user-name=AD-USERNAME
在上述命令中,我們指定了 NetWorker 系統管理員帳戶,系統會提示您輸入 NetWorker 系統管理員密碼。
範例:
nve:~ # authc_mgmt -u Administrator -e query-ldap-users -D query-tenant=default -D query-domain="amer.lan" Enter password: The query returns 19 records. User Name Full Dn Name .... bkupadmin CN=Backup Admin,CN=Users,dc=amer,dc=lan nve:~ # authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain="amer.lan" -D user-name=bkupadmin Enter password: The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,dc=amer,dc=lan
如果上述命令未返回預期結果,請確認配置具有正確的參數。例如,在外部授權單位的「進階組態」標籤中指定使用者或群組搜尋路徑,可限制 NetWorker 僅檢視指定搜尋路徑下的使用者和群組。不會顯示搜索路徑之外的使用者和組。