NetWorker: NMC-login mislykkes for AD- eller LDAP-bruger med "Du har ikke rettigheder til at bruge NMC"
Summary: NMC-godkendelse (NetWorker Management Console) med en Active Directory- (AD) eller LDAP-bruger (Lightweight Directory Access Protocol) mislykkes. Der vises en meddelelse med meddelelsen "Du har ikke rettigheder til at bruge NetWorker Management Console". Du kan få adgang til konsollen ved hjælp af NetWorker-administratoren eller en anden lokal NMC-konto. ...
Symptoms
- Følgende fejl vises, når du forsøger at logge på NMC som ekstern bruger (AD eller LDAP):
- Den samme AD-bruger kan logge på ved hjælp af
nsrloginKommandolinjeindstilling. - Godkendelsen gennemføres for standard NetWorker-administratorkontoen.
- I nogle situationer kan denne fejl kun påvirke bestemte brugere.
nsrlogin
Åbn en kommandoprompt (eller SSH-session) på NetWorker-serveren, og kør følgende kommandosyntaks:
nsrlogin -t tenant_name -t domain -u username nsrlogout
- Tenant_name: I de fleste konfigurationer er denne værdi standard. Ellers er det lejernavnet, der er konfigureret af NetWorker-administratoren.
- Domæne: Den domænepræfiksværdi, der bruges, når du logger på NMC
- Brugernavn: AD- eller LDAP-brugernavn uden domænepræfiks
Cause
Resolution
- Log på NetWorker Management Console (NMC) som NetWorker-administratorkontoen.
- Gå til Konfigurer > brugere og roller > NMC-roller.
- Gennemse rollerne Konsolbrugere og Programadministratorer . Felterne Roller i eksterne roller skal indeholde entydigt navn (DN)
(fuld sti) for en AD-gruppe, som brugeren tilhører. Du kan også angive stien for en enkelt bruger.
F.eks.:
- Når du har føjet AD-gruppe-DN til de relevante NMC-roller for brugeren, skal du teste at logge på NMC med den pågældende AD-bruger.
Additional Information
Hvis problemet fortsætter, kan du kontrollere AD- eller LDAP-gruppemedlemskabet med følgende indstillinger:
Windows Powershell:
Fra et Windows-system med samme domæne skal du køre følgende PowerShell-kommando:
Get-ADPrincipalGroupMembership -Identity USERNAME
Eksempel:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin ... ... distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local GroupCategory : Security GroupScope : Global name : NetWorker_Admins objectClass : group objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa SamAccountName : NetWorker_Admins SID : S-1-5-21-4085282181-485696706-820049737-1104
Ikonet distinguishedName outputtet af kommandoen kan bruges i NetWorker til at give AD-brugeren adgang til NMC.
Du kan finde flere oplysninger om denne kommando i Microsoft-artiklen Get-ADPrincipalGroupMembership
NetWorker authc_mgmt Kommando:
Du kan bruge ikonet authc_mgmt kommando til at forespørge AD- eller LDAP-bruger- eller gruppemedlemskab. Åbn en kommandoprompt (eller SSH-session) på NetWorker-serveren, og kør følgende kommandosyntaks:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
BEMÆRK: Du bliver bedt om at indtaste adgangskoden til NetWorker-administratorkontoen.
For eksempel:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin Enter password: The query returns 2 records. Group Name Full Dn Name Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
Ikonet Full Dn Name af en af grupperne kan bruges til at give denne AD-bruger adgang til NMC.
Den konfiguration og de værdier, der kræves til authc_mgmt Kommandoer kan indsamles ved at køre:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Se: NetWorker: Sådan konfigurerer du AD- eller LDAP-godkendelse