NetWorker:AD 登录失败“嵌套异常是 javax.naming.PartialResultException”
Summary: NetWorker 配置了外部授权资源:轻型目录访问协议 (LDAP) 或 Microsoft Active Directory (AD)。外部用户登录失败,HTTP 404“确保服务器正在运行”。
Symptoms
外部(LDAP 或 AD)用户的 NetWorker Management Console (NMC) 身份验证失败,并显示 HTTP 404:
NetWorker Web 用户界面 (NWUI) 身份验证失败,表明无法对用户进行身份验证:
此问题仅针对外部用户出现。本地 NetWorker 用户帐户(例如管理员帐户)可以成功进行身份验证。
NetWorker 身份认证服务器在 catalina.log.0 文件中记录以下内容:
Linux:/nsr/authc/logs/catalina.log.0
窗户:C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\logs\catalina.log.0
May 04, 2025 11:44:37 AM org.apache.catalina.core.StandardWrapperValve invoke SEVERE: Servlet.service() for servlet [api-latest] in context with path [/auth-server] threw exception org.springframework.ldap.PartialResultException: Unprocessed Continuation Reference(s); nested exception is javax.naming.PartialResultException: Unprocessed Continuation Reference(s); remaining name ''
gstd.conf 文件,确认哪个服务器正在处理 NMC 的身份验证。
确定 authc 服务器:
在 NMC 服务器上,打开 gstd.conf 文件中:
Linux:/opt/lgtonmc/etc/gstd.conf
窗户:C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
该文件包含定义 NMC 使用的 NetWorker 身份验证服务器的authsvc_hostname行。
[root@nsr ~]# cat /opt/lgtonmc/etc/gstd.conf | grep authsvc
string authsvc_hostname = "nsr.amer.lan";
int authsvc_port = 9090;Cause
错误消息指示在 LDAP 搜索作期间出现问题。如果您主要使用 CIFS/NFS 来写入备份,则应使用 PartialResultException 表明 LDAP 服务器返回了对另一个 LDAP 服务器或目录的引用,但未正确处理该引用。
配置外部机构资源时没有用户或组搜索路径:
NetWorker Web 用户界面(NWUI)->身份验证服务器->外部机构:
Resolution
使用以下选项之一。
选项 1:
在 NetWorker 中配置外部机构资源以使用搜索路径。搜索路径用于将 NetWorker 可见性限制为域层次结构中的特定位置和子树。也就是说,只有指定路径下的用户和组对 NetWorker 可见。上下文引用将被忽略。
没有可解决此问题的特定值。设置特定于环境,可能需要域管理员确定最合适的值。NetWorker 身份验证服务器的 authc_mgmt 命令可用于确定对 NetWorker 可见的用户和组的路径。
查询对 NetWorker 可见的 LDAP 用户:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Password' -e query-ldap-users -D query-tenant=TENTANT_NAME -D query-domain=DOMAIN_NAME
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users -D query-tenant=default -D query-domain=amer.lan The query returns 44 records. User Name Full Dn Name Administrator CN=Administrator,CN=Users,dc=amer,dc=lan .... bkupadmin CN=Backup Administrator,CN=Users,dc=amer,dc=lan
查询对 NetWorker 可见的 LDAP 组:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Password' -e query-ldap-groups -D query-tenant=TENTANT_NAME -D query-domain=DOMAIN_NAME
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups -D query-tenant=default -D query-domain=amer.lan The query returns 75 records. Group Name Full Dn Name Administrators CN=Administrators,CN=Builtin,dc=amer,dc=lan ... NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=amer,dc=lan
查询 AD/LDAP 用户的 LDAP 组成员身份:
authc_mgmt -u Administrator -p 'NetWorker_Admin_Password' -e query-ldap-groups-for-user -D query-tenant=TENTANT_NAME -D query-domain=DOMAIN_NAME -D user-name=EXTERNAL_USERNAME
[root@nsr ~]# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin The query returns 1 records. Group Name Full Dn Name NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=amer,dc=lan
在提供的示例中,AD 组 CN=NetWorker_Admins,CN=Users,DC=amer,DC=lan 用于授予此组中的 AD 用户对 NMC 和 NetWorker 服务器的管理访问权限。
修改外部机构组搜索路径以包括 CN=Users(不包括域组件 (DC) 值)解决了此问题:
选项 2:
有关域/LDAP 服务器上的配置,请咨询域管理员。确保 LDAP 服务器已正确配置,并且它提供的引用有效且可访问。