Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

NetWorker: Como configurar o LDAP/AD usando authc_config scripts

Summary: Este artigo da KB apresenta uma visão geral básica de como adicionar autenticação LDAP/AD usando o modelo authc_config script. A autenticação LDAP do Active Directory (AD) ou Linux pode ser usada junto com a conta padrão de administrador do NetWorker ou outras contas locais do NetWorker Management Console (NMC). ...

This article applies to   This article does not apply to 
Check out resources for

Instructions

O processo a seguir descreve como usar scripts para adicionar autenticação AD ou LDAP ao NetWorker. Outros métodos estão disponíveis na seção Informações adicionais deste artigo da KB. 

Você pode usar os modelos de script encontrados nos seguintes caminhos em seu servidor do NetWorker:
Windows: C:\Arquivos de Programas\EMC NetWorker\nsr\authc-server\scripts\
Linux: /opt/nsr/authc-server/scripts/
Nota: O script de ad é usado quando um controlador do Windows AD é usado para autenticação, o script ldap é para autenticação linux/unix. Você deve remover o .template do nome do arquivo antes de executar o. Se esses scripts não existirem, .sh (Linux) ou .bat (Windows) poderão ser criados com as seguintes informações.

Sintaxe: 
call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
Nota: Qualquer valor no script interno <> deve ser alterado. Os valores que não estão dentro <> podem ser deixados como estão. 
 
config-tenant-id Os tenants podem ser usados em ambientes em que mais de um método de autenticação pode ser usado e/ou quando várias autoridades precisam ser configuradas. Você não precisará criar um tenant se apenas um servidor AD/LDAP estiver sendo usado; Você pode usar o tenant padrão, config-tenant-id=1. É importante observar que o uso de tenants altera seu método de log-in. Quando o tenant padrão é usado, você pode fazer log-in no NMC usando "domain\user" se um tenant diferente do tenant padrão for usado, você deverá especificar "tenant-name\domain\user" ao fazer log-in no NMC.
config-active-directory Se você estiver usando um servidor do Microsoft Active Directory (AD): y
Se estiver usando um servidor LDAP (por exemplo: OpenLDAP: N
Nota: Há dois modelos de script diferentes "authc-create-ad-config"  e "authc-create-ldap-config". Certifique-se de usar o modelo correto para a plataforma de autenticação em uso.
config-name Esse nome é apenas um identificador para a configuração de autenticação que está sendo adicionada ao NetWorker. 
config-domain Esse é o nome do domínio usado para fazer log-in no NetWorker. Por exemplo, "emclab.local" pode ser definido como "emclab". Isso pode ser definido para se alinhar à forma como você faz login em suas workstations e sistemas integrados ao AD/LDAP.
config-server-address <protocol>://<hostname_or_ip_address>:<port>/<base_dn>
Protocol:
  • Especifique ldap se a comunicação não SSL for usada.
  • Especifique ldaps se estiver configurando a comunicação SSL.
  • Notas: 
    • Antes de configurar o serviço de autenticação do NetWorker para usar lDAPS, você deve armazenar o certificado ca do servidor LDAPS no keystore de confiança do Java. Para obter mais informações sobre esse procedimento, consulte NetWorker: Como configurar a autenticação LDAPS
    • Ldap/ldaps devem ser minúsculas.
Hostname/endereço IP:
  • Especifique o hostname ou endereço IP totalmente resolvível de seu servidor AD ou LDAP.
Port:
  • Se você estiver usando lDAP, especifique a porta 389.
  • Se você estiver usando lDAPS, especifique a porta 636.
Base-DN:
  • Especifique seu DN de base, que é composto por seus valores de componente de domínio (DC) de seu domínio, por exemplo: DC=my,DC=domain,DC=com. 
config-user-dn Especifique o DN (Distinguished Nameimage.png, nome distinto) completo de uma conta de usuário que tenha acesso completo de leitura ao diretório LDAP ou AD, por exemplo: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password Especifique a senha da conta especificada no config-user-dn.
config-user-search-path Esse campo pode ser deixado em branco, caso em que o authc pode consultar o domínio completo. As permissões ainda devem ser concedidas para acesso ao servidor do NMC/NetWorker antes que esses usuários/grupos possam fazer log-in no NMC e gerenciar o servidor do NetWorker. Se um DN base foi especificado no config-server-address, especifique o caminho relativo (excluindo o DN base) para o domínio.
config-user-id-attr O ID do usuário associado ao objeto do usuário na hierarquia LDAP ou AD.
  • Para LDAP, esse atributo é normalmente id exclusivo.
  • Para o AD, esse atributo é normalmente sAMAccountName.
config-user-object-class A classe de objeto que identifica os usuários na hierarquia LDAP ou AD.
Por exemplo, inetOrgPerson (LDAP) ou user (AD)
config-group-search-path Como config-user-search-path, esse campo pode ser deixado em branco, caso em que o authc é capaz de consultar o domínio completo. Se um DN base foi especificado no config-server-address, especifique o caminho relativo (excluindo o DN base) para o domínio.
config-group-name-attr O atributo que identifica o nome do grupo. Por exemplo, cn
config-group-object-class A classe de objeto que identifica grupos na hierarquia LDAP ou AD.
  • Para LDAP, use groupOfUniqueNames ou groupOfNames
    • Nota: Há outras classes de objeto de grupo além do groupOfUniqueNames e groupOfNames.  Use qualquer classe de objeto configurada no servidor LDAP.
  • Para OD, use group.
config-group-member-attr A lista de membros do grupo do usuário em um grupo.
  • Para LDAP:
    • Quando Group Object Class é groupOfNames, o atributo é geralmente membro.
    • Quando Group Object Class é groupOfUniqueNames, o atributo é normalmente exclusivo.
  •  Para o AD, o valor geralmente é membro.
config-user-search-filter (Opcional.) O filtro que o serviço de autenticação do NetWorker pode usar para realizar pesquisas de usuário na hierarquia LDAP ou AD. O RFC 2254 define o formato do filtro.
config-group-search-filter (Opcional.) O filtro que o serviço de autenticação do NetWorker pode usar para realizar pesquisas de grupo na hierarquia LDAP ou AD. O RFC 2254 define o formato do filtro.
config-search-subtree (Opcional.) Um valor simou nenhum que especifica se a autoridade externa deve realizar pesquisas de subárvore.
Valor padrão: não
config-user-group-attr (Opcional.) Essa opção dá suporte a configurações que identificam a lista de membros do grupo de um usuário nas propriedades do objeto do usuário. Por exemplo, para AD, especifique o atributo memberOf.
classe config-object (Opcional.) A classe de objeto da autoridade de autenticação externa. O RFC 4512 define a classe de objeto. Valor padrão: Objectclass.
Exemplo: 
call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

Depois que o script for preenchido, você poderá executar a partir da linha de comando no servidor do NetWorker.  
C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.
Depois que o script for bem-sucedido, você pode confirmar que o servidor do NetWorker pode se autenticar com o AD executando o seguinte comando:
Sintaxe: nsrlogin -t tenant -d domain -u user
Exemplo:  
nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded
Se a autenticação for bem-sucedida, colete o DN ( Distinguished Name  image.png, nome distinto) de seu grupo de administradores de backup/NetWorker do AD executando o seguinte comando em seu servidor do NetWorker:
Sintaxe:  
authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name
Exemplo:  
authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Colete o DN do grupo do administrador do NetWorker/backup.

Faça log-in no NMC como a conta padrão de administrador do NetWorker. Em Setup-->Users and Roles-->NMC Roles, adicione o DN do grupo coletado na etapa acima ao campo "External Roles" das funções apropriadas para esse grupo do AD. Os administradores completos devem ter as funções "Console Application Administrator" e "Console Security Administrator". (Consulte o Guia de Configuração de Segurança do NetWorker para obter mais informações sobre essas funções.)
kA5f1000000XZqICAW_1_0
Isso faz com que os usuários do AD possam fazer log-in e gerenciar o console do NMC; no entanto, você deverá fornecer permissões a esses usuários no servidor do NetWorker. Como a conta padrão de administrador do NetWorker, conecte-se ao servidor do NetWorker. Em Server-->User Groups,  adicione o grupo DN ao campo "External Roles" das funções apropriadas para esse grupo do AD. Os administradores completos devem ter permissões "Administradores de aplicativos" e "Administradores de segurança".
kA5f1000000XZqICAW_1_1
Depois que os DNs do grupo do AD forem adicionados aos campos External Roles no servidor do NMC e do NetWorker, tente fazer log-in no NMC usando sua conta do AD.
 
kA5f1000000XZqICAW_1_2
Uma vez conectado, o nome de usuário do AD/LDAP é exibido no canto superior direito do NMC:
kA5f1000000XZqICAW_1_3
 

Additional Information

NetWorker: Como configurar a autenticação do AD/LDAP
NWUI do NetWorker: Como configurar o AD/LDAP a partir da interface do usuário na Web do NetWorker

Affected Products

NetWorker

Product

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000158322
Article Type: How To
Last Modified: 10 Oct 2023
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.
Article Properties
Article Number: 000158322
Article Type: How To
Last Modified: 10 Oct 2023
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.