NetWorker: Не вдається ввійти в NMC для користувача AD або LDAP з написом «У вас немає привілеїв на використання NMC»
Summary: Помилка аутентифікації NetWorker Management Console (NMC) з користувачем Active Directory (AD) або полегшеного протоколу доступу до каталогів (LDAP). З'являється повідомлення про те, що «У вас немає привілеїв на використання консолі управління NetWorker». Доступ до консолі можна отримати за допомогою адміністратора NetWorker або іншого локального облікового запису NMC. ...
Symptoms
- Така помилка з'являється під час спроби входу в NMC як зовнішній користувач (AD або LDAP):
- Цей же користувач AD може увійти в систему за допомогою кнопки
nsrloginпараметр командного рядка. - Автентифікація виконується для облікового запису адміністратора NetWorker за замовчуванням.
- У деяких ситуаціях ця помилка може впливати лише на конкретних користувачів.
nsrlogin
На сервері NetWorker відкрийте командний рядок (або сеанс SSH) і виконайте наступний синтаксис команд:
nsrlogin -t tenant_name -t domain -u username nsrlogout
- Tenant_name: У більшості конфігурацій це значення є стандартним; в іншому випадку це ім'я клієнта, налаштоване адміністратором NetWorker.
- Домен: Значення префікса домену, що використовується при вході в NMC
- Ім'я користувача: Ім'я користувача AD або LDAP без префікса домену
Cause
Resolution
- Увійдіть у консоль керування NetWorker (NMC) як обліковий запис адміністратора NetWorker за замовчуванням.
- Перейдіть до розділу Налаштування > користувачів та ролей > NMC ролей.
- Перегляньте ролі користувачів консолі та адміністраторів програм. Поля ролей зовнішніх ролей мають містити відмітне ім'я (DN)
(повний шлях) групи AD, до якої належить користувач; за бажанням можна встановити шлях до одного користувача.
Наприклад:
- Додавши DN групи AD до відповідних ролей NMC для користувача, перевірте вхід у NMC за допомогою цього користувача AD.
Additional Information
Якщо проблема не зникає, ви можете перевірити членство в групі AD або LDAP за допомогою таких параметрів:
Windows Powershell:
У системі Windows на тому ж домені запустіть таку команду Powershell:
Get-ADPrincipalGroupMembership -Identity USERNAME
Приклад:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin ... ... distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local GroupCategory : Security GroupScope : Global name : NetWorker_Admins objectClass : group objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa SamAccountName : NetWorker_Admins SID : S-1-5-21-4085282181-485696706-820049737-1104
Об'єкт distinguishedName виведений командою може бути використаний в NetWorker для надання користувачеві AD доступу до NMC.
Для отримання додаткових відомостей про цю команду перегляньте статтю Microsoft Get-ADPrincipalGroupMembership
NetWorker authc_mgmt Команда:
Ви можете використовувати функцію authc_mgmt для запиту членства користувачів або груп у форматі AD або LDAP. На сервері NetWorker відкрийте командний рядок (або сеанс SSH) і виконайте наступний синтаксис команд:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
ПРИМІТКА. Вам буде запропоновано ввести пароль облікового запису адміністратора NetWorker.
Наприклад:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin Enter password: The query returns 2 records. Group Name Full Dn Name Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
Об'єкт Full Dn Name однієї з груп може бути використана для надання цьому користувачеві AD доступу до NMC.
Конфігурація та значення, які потрібні для authc_mgmt Команди можна зібрати, виконавши команду:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Бачити: NetWorker: Як налаштувати автентифікацію AD або LDAP