NetWorker: Користувач AD/LDAP не бачить користувачів NMC або ролей NMC «Не вдалося отримати інформацію про користувача зі служби автентифікації [Доступ заборонено]»
Summary: Ви можете входити в NMC за допомогою користувача LDAP AD, але не можете переглядати ролі NMC або користувачів NMC. З'явиться повідомлення про помилку «Не вдалося отримати інформацію про користувача від служби автентифікації [Доступ заборонено]». ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ви можете входити в NMC за допомогою користувача LDAP AD, але не можете переглядати ролі NMC або користувачів NMC. З'явиться повідомлення про помилку «Не вдалося отримати інформацію про користувача від служби автентифікації [Доступ заборонено]».
Cause
Випуск 1: DN групи AD не вказано в ролях NMC «Адміністратор безпеки консолі» та/або «Адміністратори безпеки» сервера NetWorkerПроблема
2: У конфігурації зовнішньої автентифікації NetWorker є неправильний або відсутній "Config User Group Attribute".
Випуск 3: DN групи AD, якій не було надано, FULL_CONTROL адміністративні привілеї.
2: У конфігурації зовнішньої автентифікації NetWorker є неправильний або відсутній "Config User Group Attribute".
Випуск 3: DN групи AD, якій не було надано, FULL_CONTROL адміністративні привілеї.
Resolution
Випуск 1:
1) Увійдіть до NMC як обліковий запис адміністратора NetWorker за замовчуванням.
2) Перейдіть до Налаштування – Користувачі та ролі –>> Ролі NMC.
3) Відкрийте властивості ролей Console Security Administrator і Console Application Administrator.
4) У полі External Roles (Зовнішні ролі) слід вказати Distinct Name (DN) групи (AD) для адміністраторів NetWorker.
Примітка: Якщо ви не впевнені щодо вказаного DN, перегляньте поле «Примітки», щоб дізнатися про кроки, які можна виконати для збирання цієї інформації. DN-адреси групи AD також повинні бути додані до відповідних полів «Зовнішні ролі» групи користувачів сервера NetWorker. Підключіться до сервера NetWorker з NMC як обліковий запис адміністратора NetWorker за замовчуванням і перейдіть до розділу Server-->User Groups. Без цього ви зможете увійти в NMC як користувач AD, але не підключатися до сервера NetWorker.
Приклад:
У цьому випадку поле "Config User Group Attribute" є порожнім. Для розпізнавання на основі AD це поле має бути встановлено як memberOf. Якщо це поле порожнє або має якесь інше значення, виконайте наступне:2) Щоб оновити це значення за допомогою команди, виконайте наступне:
1) Увійдіть до NMC як обліковий запис адміністратора NetWorker за замовчуванням.
2) Перейдіть до Налаштування – Користувачі та ролі –>> Ролі NMC.
3) Відкрийте властивості ролей Console Security Administrator і Console Application Administrator.
4) У полі External Roles (Зовнішні ролі) слід вказати Distinct Name (DN) групи (AD) для адміністраторів NetWorker.
Примітка: Якщо ви не впевнені щодо вказаного DN, перегляньте поле «Примітки», щоб дізнатися про кроки, які можна виконати для збирання цієї інформації. DN-адреси групи AD також повинні бути додані до відповідних полів «Зовнішні ролі» групи користувачів сервера NetWorker. Підключіться до сервера NetWorker з NMC як обліковий запис адміністратора NetWorker за замовчуванням і перейдіть до розділу Server-->User Groups. Без цього ви зможете увійти в NMC як користувач AD, але не підключатися до сервера NetWorker.
Приклад:
5) Після того, як DN групи AD вашого адміністратора NetWorker буде додано до обох ролей. Увійдіть у NMC як користувач AD, що належить до нещодавно доданої групи, і підтвердьте, чи можете ви бачити конфігурації «Користувачі NMC» і «Ролі NMC».
Випуск 2:
1) Перевірте існуючу конфігурацію за ідентифікатором конфігурації:
Випуск 2:
1) Перевірте існуючу конфігурацію за ідентифікатором конфігурації:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Примітка: Вказаний обліковий запис є обліковим записом/паролем адміністратора NetWorker. Замініть # на ідентифікатор конфігурації, зібраний у першій команді.
Приклад:
Приклад:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
У цьому випадку поле "Config User Group Attribute" є порожнім. Для розпізнавання на основі AD це поле має бути встановлено як memberOf. Якщо це поле порожнє або має якесь інше значення, виконайте наступне:2) Щоб оновити це значення за допомогою команди, виконайте наступне:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Примітка: У деяких системах ви не зможете оновити окремі значення. Якщо ви отримуєте помилку з вищевказаною командою, рекомендується скористатися шаблонами скриптів, які можна знайти в розділі:
Linux: /opt/nsr/authc-server/bin
Вікна: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Примітка: наведений вище шлях Windows припускає, що був використаний шлях встановлення NetWorker за замовчуванням.
Примітка: наведений вище шлях Windows припускає, що був використаний шлях встановлення NetWorker за замовчуванням.
Якщо використовується скрипт, ви можете змінити "-e add-config" на "-e update-config" і заповнити решту полів відповідно до вашого середовища. Атрибут групи користувачів налаштувань має бути встановлено у "-D "config-user-group-attr=memberOf"" у шаблоні скрипту (за замовчуванням). Після оновлення конфігурації ви повинні побачити зміни: authc_config -u Адміністратор -p пароль -e find-config -D config-id=#
Приклад:
Приклад:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Вийдіть з NMC і знову увійдіть у свій обліковий запис користувача AD
Випуск 3:
У деяких випадках навіть після додавання DN(ів) групи AD до полів «Зовнішні ролі» адміністратора безпеки консолі та адміністратора консольних програм усе одно з'являється повідомлення про помилку «Відмовлено в доступі». FULL_CONTROL дозволи можуть бути додані до групи AD адміністраторів NetWorker.
1) Відкрийте командний рядок з підвищеним рівнем складності на сервері
NetWorker 2) Переконайтеся, які групи AD мають FULL_CONTROL встановлені дозволи:
У деяких випадках навіть після додавання DN(ів) групи AD до полів «Зовнішні ролі» адміністратора безпеки консолі та адміністратора консольних програм усе одно з'являється повідомлення про помилку «Відмовлено в доступі». FULL_CONTROL дозволи можуть бути додані до групи AD адміністраторів NetWorker.
1) Відкрийте командний рядок з підвищеним рівнем складності на сервері
NetWorker 2) Переконайтеся, які групи AD мають FULL_CONTROL встановлені дозволи:
authc_config -u Адміністратор -p пароль -e знайти-всі-дозволи
Примітка: Вказаний обліковий запис є обліковим записом/паролем адміністратора NetWorker.
3)Якщо DN групи адміністраторів NetWorker не вказаний, виконайте наступну команду:
3)Якщо DN групи адміністраторів NetWorker не вказаний, виконайте наступну команду:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Примітка: Permission-group-dn має містити повний DN групи, до якої ви хочете додати права доступу. Якщо ви не впевнені щодо групи DN, перегляньте поле «Нотатки» для збирання цієї інформації.
Приклад:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Після додавання дозволу ви можете підтвердити зміни, виконавши команду find-all-permissions з кроку 2.
5) Увійдіть у NMC за допомогою користувача AD, що належить до групи, до якої ви щойно додали дозволи, і підтвердьте, чи можете ви побачити налаштування «Ролі NMC» або «Користувачі NMC».
Additional Information
Для виконання наведених вище процедур необхідно знати визначне ім'я (DN) групи AD, до якої належать користувачі AD. Це може підтвердити адміністратор AD, але також може бути зібрано за допомогою команд authc_config і authc_mgmt на сервері NetWorker. Для того, щоб зібрати цю інформацію, вам також потрібно знати клієнта та домен, які були налаштовані для зовнішніх автентифікацій LDAP AD:
1) Увійдіть на сервер NetWorker і відкрийте командний рядок з підвищеним рівнем складності.
2) Підтвердьте, чи був налаштований клієнт (у більшості випадків використовується значення default):
3) Отримавши ім'я клієнта, ви можете виконати таку команду, щоб надіслати запит до груп LDAP AD для певного користувача AD:
Приклад:
1) Увійдіть на сервер NetWorker і відкрийте командний рядок з підвищеним рівнем складності.
2) Підтвердьте, чи був налаштований клієнт (у більшості випадків використовується значення default):
authc_config -u Адміністратор -p пароль -e знайти всіх-орендарів
Примітка: Вказаний обліковий запис є обліковим записом/паролем адміністратора NetWorker.
Приклад:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Адміністратор -p пароль -e query-ldap-groups-for-user -D "query-tenant=назва-клієнта" -D "query-domain=назва-домену" -D "ім'я-користувача=назва-користувача"
Примітка: Укажіть ім'я клієнта, зібране за допомогою команди на кроці 2. Назва домену має відповідати тому, як його було вказано під час налаштовування зовнішньої автентифікації LDAP AD. не обов'язково домен, як це було б у DNS-запиті. Вкажіть доменне ім'я так само, як і при вході в NMC. Укажіть користувача AD для імені користувача.
Приклад:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Тепер у вас має бути повне ім'я DN групи AD, до якої ви хочете додати дозволи. Це можна скопіювати та вставити в поля External Roles у Ролях NMC та Групах користувачів сервера NetWorker. Його також можна використовувати в команді FULL_CONTROL дозволів.
authc_config та authc_mgmt є дуже корисними командами для тестування/налаштування зовнішньої автентифікації. Щоб побачити всі доступні параметри, запустіть команди окремо без прапорців/перемикачів.
authc_config та authc_mgmt є дуже корисними командами для тестування/налаштування зовнішньої автентифікації. Щоб побачити всі доступні параметри, запустіть команди окремо без прапорців/перемикачів.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.