搜索 <book_title>...

NetBackup IT Analytics 帮助

Last Published: 2025-03-26

Product(s): NetBackup IT Analytics (11.5)

身份验证和授权的 AD/LDAP 配置

要配置 AD/LDAP 进行用户身份验证和授权，门户管理员必须至少在门户中创建一个用户组，该用户组也作为 UserGroup 出现在 AD/LDAP 中。

以“超级用户”用户角色登录到门户，导航到“管理”>“用户组”。
用 AD/LDAP 中存在的相同组名创建新的用户组。当门户中已启用 “LDAP 授权”时，只有此用户组的成员可以访问门户。
为新建的用户组分配适当的权限。请参见《用户指南》中的“设置用户组权限”部分。
记录将创建新用户的域名。
要查找域名，请导航到“管理”>“域”>“域名”。
启用 LDAP 身份验证时，需要在“LDAP 域名”字段中指定此名称。
转到“管理”>“身份验证”>“LDAP”。

启用身份验证和授权，并输入下表中建议的配置：

字段名称	描述
已启用	选择此选项以启用 AD/LDAP 身份验证
授权	选择此选项以启用 AD/LDAP 授权选中后，门户将为用户授予对 AD 组的权限。在门户中，必须至少将新用户所属的一个 AD 组配置为用户组。注意: 如果 AD 组未与门户中的用户组建立映射，登录期间，身份验证将失败，并显示错误：“外部 LDAP 用户不存在用户组映射”。
LDAP 域名	输入创建新用户的门户域名。在 ldap.authorization 设置为 true 时使用。要在门户中查找域名，请转到“管理”>“域”>“域名”。示例： example.company.com
LDAP URL	设置为 AD 的主机和端口。请注意，此 URL 值的前缀为 `ldap:`。如果使用 SSL，将前缀更改为 `ldaps`。如果对外部 LDAP 配置使用 Active Directory，则可能需要使用全局编录端口 3268，而不使用端口 389。如果使用 SSL，则可以对标准 LDAP 使用安全全局编录端口 3269 或 636。示例： ldap://example.company.com:389 或 ldaps://example.company.com:636
搜索库	设置执行搜索的位置，以在身份验证目录中定位用户。通常称为 Active Directory (AD) 搜索库，这是 Active Directory 树中用于搜索 LDAP 用户的起点。此搜索库采用 LDAP 可分辨名称格式，包含完全限定域名。NetBackup IT Analytics 仅支持一个搜索库。示例： example, company, com
DN	设置为有权搜索搜索库的用户的 ID。此用户必须能够搜索所有 LDAP 目录服务器。 NetBackup IT Analytics 要求用户有权在 Active Directory 结构中的基本 DN（可分辨名称）下进行搜索。此用户必须是具有管理权限的帐户，通常为管理员。可以是在安装 Active Directory 时创建的管理员帐户，也可以是已经创建，又被授予管理权限或置于具有管理权限的组中的帐户。如果使用 Active Directory，请指定此设置，因为 Active Directory 服务不允许匿名绑定。Microsoft Active Directory 需要提供可搜索 LDAP 目录权限的用户的用户名和密码。示例： CN=Admin,CN=Users,DC=example,DC=company,DC=com 注意: 支持特殊字符 #、>、<、;、(、) 和 =，但 DN 和 CN 中不支持 / 和 \。
DN 密码	设置为 DN 字段中使用的用户的密码。
证书	导航到 Keystore 路径位置并选择 AD 证书。
登录属性	输入用于身份验证的登录属性。Active Directory 中用于指定用户名的属性名称，如 uid 或 sAMAccountName。示例： sAMAccountName
新用户域	输入创建新用户的门户域名。仅在已启用授权时使用。要在门户中查找域名，请导航到“管理”>“域”>“域名”。示例： example.company.com
禁用用户属性名称	输入 AD 属性的值，表示用户是处于活动状态还是非活动状态。通过 AD 进行门户身份验证期间，REST API 使用分配给此字段的 AD 属性来检查用户是否仍然是活动的 AD 用户。例如，如果 `ad.user.active` 是表示用户是处于活动状态还是已禁用状态的 AD 属性，则必须分配 `ad.user.active` 作为该字段的值。
禁用用户属性值	输入与 AD 属性的值（在“禁用用户属性名称”中指定）相同的值，表示 AD 用户处于已禁用状态。例如：如果 `ad.user.active` 是 AD 中用户状态的属性，它可能具有多个值，如 live、inactive、joined 等。如果值 inactive 表示用户在 AD 中处于已禁用状态，则必须将该字段的值设置为 inactive。 REST API 将此值与该字段中指定的 AD 属性值进行匹配。如果值匹配，则表示已在 NetBackup IT Analytics 门户上禁用该用户。注意: 门户超级用户必须明确激活已在 AD 和门户中停用但仅在 AD 中重新激活的用户。具有足够权限的门户管理员也可以激活此类用户。如果不进行用户激活，门户访问将受到限制。

单击“测试连接”。如果测试失败，请进行所需的更改。
单击“保存”。
启用 LDAP 身份验证和授权已完成。
注意:
如果您无法保存配置，请检查是否在上次升级之前更改了 JDK 信任存储区的密码，并确保从门户的“管理”>“系统配置”>“自定义”页面为 portal.jdk.trustStore.password 参数分配更新后的密码。Windows 和 Linux 系统的 JDK 信任存储区位置分别为 <portal_installation_path>\jdk\lib\security\cacerts 和 /usr/java/lib/security/cacerts。
要更改现有超级用户 LDAP_ID 以映射到 AD 用户名，请更新 Oracle 数据库服务器上的现有记录。
例如：如果登录属性为 user_name，实际值为 Admin，请按如下所示更新现有记录：
```
# sqlplus portal/<portal_password>@scdb
# UPDATE ptl_user SET ldap_id = 'Admin' WHERE user_id = 100000;
# commit;
```
使用此更新的用户名（而不是 aptare）登录到外部目录。由于用户帐户 aptare (user_id=100) 是内部引导用户，在数据库表之间维护引用完整性时需要该用户，因此必须避免将 aptare 用于外部 LDAP 集成。
注意:
user_id = 100000 始终是超级用户帐户的默认 user_id。
使用 Active Directory 中的任意用户以及步骤 2 中创建的组登录到门户。
如果门户是从较低版本升级而来，则可能需要清除浏览器缓存，才会在登录屏幕上显示身份验证类型和 SSO 选项。
请注意，要在门户中自动创建用户，必须为 AD/LDAP 中的每个用户设置以下属性：
- givenName：必需。它用作用户的名字。
- telephoneNumber：可选
- mobile：可选
- mail：必需

注意:

如果出于任何原因从门户禁用了 LDAP 配置，门户管理员必须为门户中所有 AD/LDAP 用户设置密码。