NWUI: El usuario de AD/LDAP no definido en NetWorker puede revisar el tablero.

Summary: La autenticación externa (AD/LDAP) se integró con NetWorker. Los usuarios o grupos de AD/LDAP integran funciones de NetWorker; sin embargo, un usuario externo al que no se le otorgó ningún permiso en NetWorker puede iniciar sesión en NWUI y revisar el tablero. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

AD/LDAP se integró con NetWorker. La integración de autoridad externa de NetWorker no tiene una ruta de búsqueda de usuario o una ruta de búsqueda de grupo especificada (acceso de lectura global):

Las rutas de búsqueda de usuarios y grupos no están configuradas en el recurso de autoridad externa de NetWorker

Se agregaron usuarios o grupos de AD/LDAP a los campos de funciones externas de los gruposde usuarios del> servidor. Un usuario de AD/LDAP no pertenece a ninguno de los grupos definidos en NetWorker y el usuario no está definido en ninguno de los grupos de usuarios de NSR.

NOTA: Consulte la sección Información adicional para obtener instrucciones sobre cómo verificar los permisos de NetWorker definidos en un ambiente y cómo ver qué usuarios de AD/LDAP pertenecen a qué grupos de AD/LDAP.

El usuario de AD/LDAP puede iniciar sesión en la interfaz de usuario web de NetWorker (NWUI) y ver las pestañas Dashboard y Monitoring:

Usuario de AD que inició sesión en NWUI

El usuario no puede revisar ni cambiar la configuración de NetWorker; sin embargo, pueden acceder a información sobre trabajos completados o en ejecución en NetWorker Server:

NWUI ejecuta sesiones como las ve un usuario externo sin privilegios

Cause

Este problema se planteó al departamento de ingeniería de NetWorker. NetWorker funciona según lo previsto. Si no se especifica ninguna ruta de búsqueda de usuario o ruta de búsqueda de grupo , authc de NetWorker tiene acceso de lectura global a toda la estructura de AD/LDAP. 
Esto también se puede observar si se configuró una ruta de búsqueda de usuario o una ruta de búsqueda de grupo, pero está configurada en baja dentro de la estructura de AD/LDAP, lo que permite que la búsqueda en el subárbol recoja usuarios/grupos por debajo del conjunto de rutas.

Resolution

Restrinja la visibilidad de NetWorker de la organización de AD/LDAP solo a los usuarios/grupos que deben tener acceso a NetWorker. Esto se puede hacer mediante los campos Ruta de búsqueda de usuario y Ruta de búsqueda de grupo en el recurso de autoridad externa de NetWorker.

  1. En el entorno AD/LDAP, identifique el nombre distintivo (DN) del contenedor principal (CN) o la unidad organizativa (OU) que requieren acceso a NetWorker.

Por ejemplo, se puede utilizar el siguiente comando de PowerShell para identificar la ubicación de un grupo dentro de Microsoft AD:

Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
Ejemplo: 
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName

Name             ObjectClass DistinguishedName
----             ----------- -----------------
NetWorker_Admins group       CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan

En este ejemplo, podemos ver que el grupo pertenece a la unidad organizativa (OU) OU=DELL,DC=networker,DC=lan. La OU/CN del grupo se puede utilizar como la ruta de búsqueda del grupo.


Se puede usar el siguiente comando de PowerShell para obtener la ubicación de los usuarios de Microsoft AD dentro de un grupo de AD: 
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Ejemplo:

PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Name                         SamAccountName ObjectClass DistinguishedName
----                         -------------- ----------- -----------------
NetWorker Engineering        nwree          user        CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan
Backup Administrator         bkupadmin      user        CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
En este ejemplo, podemos ver que los usuarios del grupo pueden existir en más de una ubicación; sin embargo, en este caso, ambos usuarios pertenecen a la OU OU=DELL,DC=networker,DC=lan. La OU/CN del usuario se puede utilizar como la ruta de búsqueda del usuario.

NOTA: Debe tener en cuenta los recursos de subárbol. Por ejemplo, si hay otras OU/CN en la ruta seleccionada, también serán visibles para NetWorker. Esto se puede utilizar para otorgar permisos a usuarios/grupos en una ruta específica; Por el contrario, también abre el acceso a grupos/recursos debajo de una ruta especificada. Para obtener ayuda para obtener las rutas de búsqueda adecuadas de usuarios y grupos, consulte con el administrador de dominio.
  1. Inicie sesión en la interfaz de usuario web de NetWorker (NWUI) con la cuenta predeterminada de administrador de NetWorker.
  2. Vaya a Servidor de autenticación:>autoridad externa.
  3. Seleccione el recurso de autoridad externa y haga clic en EDIT.
  4. En las propiedades del recurso externo, vaya a la pestaña ADVANCED CONFIGURATION.
  5. Actualice los campos Group Search Path y User Search Path para incluir la ruta de OU/CN (sin incluir los valores de DC) al recurso OU/CN primario al que desea que NetWorker authc tenga acceso de lectura.
Actualice los campos de ruta de búsqueda de grupo y ruta de búsqueda de usuario para que contengan los recursos de AD
NOTA: Cualquier grupo/usuario en las rutas de búsqueda especificadas puede acceder a NWUI. Cualquier usuario o grupo fuera de la ruta especificada no tiene acceso, incluso si se otorgaron permisos de grupo de usuarios .
  1. Vaya a la pestaña BASIC CONFIGURATION .
  2. En el campo Contraseña de DN de usuario, ingrese la contraseña de la cuenta de DN de usuario.
  3. Haga clic en SAVE. El recurso informa si se actualizó correctamente:
Recurso de autoridad externa actualizado correctamente

Los usuarios/grupos que residen en la ruta de búsqueda de grupo y la ruta de búsqueda de usuario especificadas podrán iniciar sesión en NWUI de todos modos; sin embargo, a los usuarios que residen fuera de estas rutas no se les permitirá el acceso a NWUI.

No se permite el uso de usuarios no autorizados

Additional Information

En NetWorker Server, verifique qué usuarios/grupos externos están definidos en los grupos de usuarios de NetWorker:

nsradmin
show name; external roles
print type: nsr usergroup

nsradmin nsr usergroup external roles

Un usuario externo puede ser encontrado por authc; sin embargo, no es miembro de ninguno de los grupos definidos en los campos NSR usergroup external roles; Tampoco está definido por el usuario en ninguno de estos campos:

En el servidor de autenticación de NetWorker, verifique los grupos de AD/LDAP a los que pertenece un usuario.

authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

authc_mgmt comando para mostrar la membresía del grupo de usuarios en el servidor de autenticación externo

En esta instancia, el usuario testuser2 no forma parte del grupo de AD de NetWorker_Admins configurado en los campos NSR usergroup external roles, ni el DN de usuario está definido en los campos external roles.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000252854
Article Type: Solution
Last Modified: 13 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.