NetWorker. Сбой входа в NMC для пользователя AD или LDAP с сообщением «У вас нет прав для использования NMC»

Summary: Проверка подлинности консоли управления NetWorker Management Console (NMC) с участием пользователя Active Directory (AD) или LDAP завершается сбоем. Появится сообщение «У вас нет прав на использование NetWorker Management Console». Консоль доступна с помощью администратора NetWorker или другой локальной учетной записи NMC. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • При попытке войти в NMC в качестве внешнего пользователя (AD или LDAP) появляется следующая ошибка:
сообщение об ошибке
  • Этот же пользователь AD может войти в систему с помощью команды nsrlogin Параметр командной строки.
  • Аутентификация успешно выполняется для учетной записи администратора NetWorker по умолчанию.
  • В некоторых случаях эта ошибка может затрагивать только определенных пользователей.

nsrlogin

На сервере NetWorker откройте командную строку (или сеанс SSH) и выполните следующую команду: 
nsrlogin -t tenant_name -t domain -u username
nsrlogout
  • Tenant_name: В большинстве конфигураций это значение установлено по умолчанию; в противном случае это имя клиента, настроенное администратором NetWorker.
  • Домен: Значение префикса домена, используемое при входе в NMC
  • Имя пользователя: Имя пользователя AD или LDAP без префикса домена
В примере, показанном в этой статье, это выглядит следующим образом: 

Блок CMD

Cause

Пользователь AD или LDAP виден серверу проверки подлинности, но у пользователя (или его группы) нет разрешений для входа в NMC.

Resolution

  1. Войдите в NetWorker Management Console (NMC) как учетная запись администратора NetWorker по умолчанию.
  2. Перейдите в раздел Настройка > пользователей и ролей > Роли NMC.
  3. Рассмотрите роли Console Users и Application Administrators. Поля ролей внешних ролей должны содержать отличительное имя (DN) Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. (полный путь) группы AD, к которой принадлежит пользователь. При необходимости можно задать путь для одного пользователя. 

Пример.

Роли NMC

  1. После добавления различающегося имени группы AD в соответствующие роли NMC для пользователя выполните тестовый вход в NMC с этим пользователем AD.

Заголовок Dell EMC, отображающий аутентифицированного внешнего пользователя

Additional Information

Если проблема не устранена, можно проверить членство в группах AD или LDAP с помощью следующих параметров:

Windows PowerShell:

В системе с Windows в том же домене выполните следующую команду PowerShell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Пример:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Переменная distinguishedName можно использовать в NetWorker для предоставления пользователю AD доступа к NMC.

Дополнительные сведения об этой команде см. в статье Microsoft Get-ADPrincipalGroupMembership Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

NetWorker authc_mgmt Команда.

Можно использовать команду authc_mgmt для запроса членства пользователя или группы AD или LDAP. На сервере NetWorker откройте командную строку (или сеанс SSH) и выполните следующую команду:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

ПРИМЕЧАНИЕ. Вам будет предложено ввести пароль учетной записи администратора NetWorker.
Например: 
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Переменная Full Dn Name одной из групп может быть использован для предоставления данному пользователю AD доступа к NMC.

Конфигурация и значения, необходимые для authc_mgmt Команды можно собрать, выполнив:

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants

Видеть: NetWorker. Настройка аутентификации AD или LDAP

Affected Products

NetWorker, NetWorker Management Console

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000196070
Article Type: Solution
Last Modified: 02 may 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.