NetWorker: NMC-kirjautuminen epäonnistuu AD- tai LDAP-käyttäjältä, jolla on ilmoitus "Sinulla ei ole oikeuksia käyttää NMC:tä"

• Seuraava virhe ilmenee, kun yrität kirjautua NMC:hen ulkoisena (AD tai LDAP) käyttäjänä:

• Sama AD-käyttäjä voi kirjautua sisään käyttämällä nsrlogin komentorivivalitsin.
• Oletusarvoisen NetWorker Administrator -tilin todennus onnistuu.
• Joissakin tilanteissa tämä virhe voi vaikuttaa vain tiettyihin käyttäjiin.

nsrlogin

nsrlogin -t tenant_name -t domain -u username
nsrlogout

• Tenant_name: Useimmissa kokoonpanoissa tämä arvo on oletus; muussa tapauksessa se on NetWorker-järjestelmänvalvojan määrittämä vuokraajan nimi.
• Toimialue: Toimialueen etuliitteen arvo, jota käytetään kirjauduttaessa NMC:hen
• Username: AD- tai LDAP-käyttäjätunnus ilman toimialueen etuliitettä

1. Kirjaudu NetWorker Management Consoleen (NMC) oletusarvoisena NetWorker Administrator -tilinä.
2. Siirry kohtaan Määritä > käyttäjät ja roolit > NMC-roolit.
3. Tarkista konsolin käyttäjien ja sovellusten järjestelmänvalvojien roolit. Ulkoisten roolien kenttien tulee sisältää sen AD-ryhmän yksilöllinen nimi (DN) (koko polku), johon käyttäjä kuuluu. Vaihtoehtoisesti voidaan määrittää yksittäisen käyttäjän polku. 

Esimerkki:

4. Kun olet lisännyt AD-ryhmän DN käyttäjän asianmukaisiin NMC-rooleihin, testaa kirjautumista NMC:hen kyseisen AD-käyttäjän kanssa.

Jos ongelma ei poistu, voit vahvistaa AD- tai LDAP-ryhmän jäsenyyden seuraavilla asetuksilla:

Windows Powershell:

Suorita samalla toimialueella olevassa Windows-järjestelmässä seuraava Powershell-komento:

Get-ADPrincipalGroupMembership -Identity USERNAME

Esimerkki:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

pikanäppäimellä distinguishedName voidaan käyttää NetWorkerissa AD-käyttöoikeuden myöntämiseen NMC:hen.

Lisätietoja tästä komennosta on Microsoftin artikkelissa Get-ADPrincipalGroupMembership 

NetWorker authc_mgmt Komento:

Voit käyttää authc_mgmt AD- tai LDAP-käyttäjän tai ryhmän jäsenyyden kyselevä komento. Avaa NetWorker-palvelimessa komentokehote (tai SSH-istunto) ja suorita seuraava komentosyntaksi:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

pikanäppäimellä Full Dn Name yhtä ryhmää voidaan käyttää myöntämään tälle AD-käyttäjälle käyttöoikeus NMC: hen.

Tarvittava kokoonpano ja arvot authc_mgmt Komennot voidaan kerätä suorittamalla:

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants

Lisätietoja: NetWorker: AD- tai LDAP-todennuksen määrittäminen