NetWorker:AD/LDAP 使用者看不到 NMC 使用者或 NMC 角色「無法從驗證服務取得使用者資訊 [Access is Denied]」
Summary: 您可以使用 LDAP AD 使用者登入 NMC,但無法檢視 NMC 角色或 NMC 使用者。錯誤訊息「Unable to get user information from authentication service [Access is Denied]」(無法從驗證服務取得使用者資訊 [無法存取])。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
您可以使用 LDAP AD 使用者登入 NMC,但無法檢視 NMC 角色或 NMC 使用者。錯誤訊息「Unable to get user information from authentication service [Access is Denied]」(無法從驗證服務取得使用者資訊 [無法存取])。
Cause
問題 1:NMC 角色「主控台安全管理員」和/或 NetWorker 伺服器使用者群組的「安全性管理員」
問題 2 中未指定 AD 群組 DN:NetWorker 外部驗證組態有不正確或遺失的「組態使用者群組屬性」。
問題 3:尚未授予FULL_CONTROL管理許可權的 AD 群組 DN。
問題 2 中未指定 AD 群組 DN:NetWorker 外部驗證組態有不正確或遺失的「組態使用者群組屬性」。
問題 3:尚未授予FULL_CONTROL管理許可權的 AD 群組 DN。
Resolution
問題 1:
1) 以預設的NetWorker 系統管理員帳戶登入 NMC。
2) 移至「Setup-- > Users and Roles-- > NMC Roles」。
3) 開啟主控台安全性管理員和主控台應用程式管理員角色的屬性。
4) 在「外部角色」欄位中,應指定 NetWorker 系統管理員 AD 群組的辨別名稱(DN)。
注意:如果您不確定是否指定 DN,請參閱「備註」欄位,瞭解收集此資訊時可完成的步驟。AD 群組 DN 也應新增至對應的 NetWorker 伺服器使用者 群組的「外部角色」欄位。從 NMC 連線至 NetWorker 伺服器作為預設 NetWorker 系統管理員帳戶,然後前往Server-- > User Groups。如果沒有這個,您將能夠以 AD 使用者身分登入 NMC,但無法連線至 NetWorker 伺服器。
例子:
在此例項中,「組態使用者群組屬性」為空白。針對 AD 式驗證,此欄位應設為MemberOf。如果此欄位為空白或有其他值,請完成下列:
2) 若要透過命令更新此值,請執行下列步驟:
1) 以預設的NetWorker 系統管理員帳戶登入 NMC。
2) 移至「Setup-- > Users and Roles-- > NMC Roles」。
3) 開啟主控台安全性管理員和主控台應用程式管理員角色的屬性。
4) 在「外部角色」欄位中,應指定 NetWorker 系統管理員 AD 群組的辨別名稱(DN)。
注意:如果您不確定是否指定 DN,請參閱「備註」欄位,瞭解收集此資訊時可完成的步驟。AD 群組 DN 也應新增至對應的 NetWorker 伺服器使用者 群組的「外部角色」欄位。從 NMC 連線至 NetWorker 伺服器作為預設 NetWorker 系統管理員帳戶,然後前往Server-- > User Groups。如果沒有這個,您將能夠以 AD 使用者身分登入 NMC,但無法連線至 NetWorker 伺服器。
例子:
5) NetWorker 系統管理員的 AD 群組 DN 新增至兩個角色後。以屬於新增群組的 AD 使用者身分登入 NMC,並確認您是否能夠看到 NMC 使用者和 NMC 角色組態。
問題 2:
1) 使用組態 ID 檢查現有的組態:
問題 2:
1) 使用組態 ID 檢查現有的組態:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
注意:指定的帳號是 NetWorker 系統管理員帳戶/密碼。將號碼替換為在第一個命令中收集的組態 ID。
例子:
例子:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
在此例項中,「組態使用者群組屬性」為空白。針對 AD 式驗證,此欄位應設為MemberOf。如果此欄位為空白或有其他值,請完成下列:
2) 若要透過命令更新此值,請執行下列步驟:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
注意:在某些系統中,您將無法更新個別值。如果您收到上述命令的錯誤,建議您使用下方找到的腳本範本:
Linux:/opt/nsr/authc-server/bin
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\bin
注意:上述 Windows 路徑假設已使用預設的 NetWorker 安裝路徑。
注意:上述 Windows 路徑假設已使用預設的 NetWorker 安裝路徑。
如果使用腳本,您可以將「-e add-config」變更為「-e update-config」,並根據您的環境填入其餘欄位。在腳本範本中,組態使用者群組屬性應設為「-D」「config-user-group-attr=memberOf」(預設值)。組態更新後,您應該會看到以下變更:authc_config -u Administrator -p password -e find-config -D config-id=#
例子:
例子:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) 登出 NMC,然後與 AD 使用者一起登入
問題 3:
在某些情況下,即使將 AD 群組 DN 新增至主控台安全性管理員和主控台應用程式管理員的「外部角色」欄位,您仍會收到「Access Denied」錯誤。FULL_CONTROL許可權可新增至 NetWorker 系統管理員 AD 群組。
1) 在 NetWorker 伺服器
2 上開啟提升的命令提示字元) 確認哪些 AD 群組已設定FULL_CONTROL許可權:
在某些情況下,即使將 AD 群組 DN 新增至主控台安全性管理員和主控台應用程式管理員的「外部角色」欄位,您仍會收到「Access Denied」錯誤。FULL_CONTROL許可權可新增至 NetWorker 系統管理員 AD 群組。
1) 在 NetWorker 伺服器
2 上開啟提升的命令提示字元) 確認哪些 AD 群組已設定FULL_CONTROL許可權:
authc_config -u Administrator -p password -e find-all-permissions
注意:指定的帳號是 NetWorker 系統管理員帳戶/密碼。
3)如果未指定 NetWorker 系統管理員群組的 DN,請執行下列命令:
3)如果未指定 NetWorker 系統管理員群組的 DN,請執行下列命令:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
注意:permission-group-dn 應包含您要新增許可權的群組完整 DN。如果您不確定群組 DN,請參閱「備註」欄位以收集此資訊。
範例:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) 新增許可權後,您可以執行步驟 2 的「find-all-permissions」命令來確認變更。
5) 以屬於您剛新增許可權的群組的 AD 使用者登入 NMC,並確認您是否能夠看到 NMC 角色或 NMC 使用者設定。
Additional Information
上述程式需要瞭解 AD 使用者所屬 AD 群組的辨別名稱 (DN)。您的 AD 系統管理員可以確認這一點,但也可以在 NetWorker 伺服器上使用authc_config和authc_mgmt命令加以收集。為了收集此資訊,您也必須知道為您的 LDAP AD 外部驗證設定的租使用者和網域:
1) 登入 NetWorker 伺服器並開啟提升的命令提示字元。
2) 確認是否已設定租使用者 (在大多數情況下默認值):
3) 取得租戶名稱後,您可以執行下列命令,以查詢特定 AD 使用者的 LDAP AD 群組:
例子:
1) 登入 NetWorker 伺服器並開啟提升的命令提示字元。
2) 確認是否已設定租使用者 (在大多數情況下默認值):
authc_config -u Administrator -p password -e find-all-tenants
注意:指定的帳號是 NetWorker 系統管理員帳戶/密碼。
範例:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D 「query-tenant=tenant-name」 -D 「query-domain=domain-name」 -D 「user-name=ad-user」
注意:指定步驟 2 中從命令收集的租使用者名稱。域 名必須符合設定 LDAP AD 外部驗證時的指定方式;不一定為網域,因為它會顯示在 DNS 查詢中。如您登入 NMC 時所要指定的功能變數名稱。為使用者名稱指定 AD 使用者。
例子:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
從此輸出中,您現在應擁有要新增許可權的 AD 群組完整 DN 名稱。這可以複製並貼到 NMC 角色和 NetWorker 伺服器使用者群組的「外部角色」欄位中。它也可以在 FULL_CONTROL 許可權命令中使用。
authc_config和authc_mgmt是用於測試/設定外部驗證的非常實用的命令。若要查看所有可用的選項,請自行執行命令,沒有旗標/交換器。
authc_config和authc_mgmt是用於測試/設定外部驗證的非常實用的命令。若要查看所有可用的選項,請自行執行命令,沒有旗標/交換器。
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.