NWUI: AD/LDAP-brukere som ikke er definert i NetWorker, kan se gjennom instrumentbordet.
Summary: Ekstern godkjenning (AD/LDAP) er integrert med NetWorker. AD/LDAP-brukere eller -grupper har blitt integrert i NetWorker-roller. En ekstern bruker som ikke har fått noen tillatelser i NetWorker, kan imidlertid logge på NWUI og se gjennom instrumentbordet. ...
Symptoms
AD/LDAP er integrert med NetWorker. Integreringen av NetWorkers eksterne myndighet har ikke angitt en brukersøkebane eller gruppesøkebane (global lesetilgang):
AD/LDAP-brukere eller -grupper er lagt til i eksterne roller-feltene i Tjener-Brukergrupper>. En AD/LDAP-bruker tilhører ikke noen av gruppene som er definert i NetWorker, og brukeren er ikke definert i noen av NSR-brukergruppene.
AD/LDAP-brukeren kan logge på NetWorker Web User Interface (NWUI) og kan se fanene Dashboard og Overvåking:
Brukeren kan ikke gjennomgå eller endre NetWorker-konfigurasjonen. De kan imidlertid få tilgang til informasjon om fullførte eller kjørende jobber på NetWorker-serveren:
Cause
Dette problemet har blitt behandlet til NetWorkers teknikere. NetWorker fungerer som det skal. Hvis ingen brukersøkebane eller gruppesøkebane er angitt, har NetWorker-authc global lesetilgang til hele AD/LDAP-strukturen.
Dette kan også observeres hvis en brukersøkebane og/eller gruppesøkebane er angitt, men den er satt til lav i AD/LDAP-strukturen, slik at undertresøk kan hente brukere/grupper under den angitte banen.
Resolution
Begrens NetWorkers synlighet av AD/LDAP-organisasjonen til bare brukere/grupper som skal ha tilgang til NetWorker. Dette kan gjøres ved hjelp av feltene for brukersøkebane og gruppesøkebane i NetWorkers ressurs for ekstern autoritet.
- I AD/LDAP-miljøet må du identifisere det unike navnet (DN) til den overordnede beholderen (CN) eller organisasjonsenheten (OU) som krever NetWorker-tilgang.
Følgende PowerShell-kommando kan for eksempel brukes til å identifisere plasseringen til en gruppe i Microsoft AD:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
I dette eksemplet kan vi se at gruppen hører til under organisasjonsenheten (OU) OU=DELL,DC=networker,DC=lan. Gruppens OU/CN kan brukes som gruppesøkebane.
Følgende PowerShell-kommando kan brukes til å hente plasseringen til Microsoft AD-brukere i en AD-gruppe:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Eksempel:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
MERK: Du må vurdere undertreressurser. Hvis det for eksempel er andre organisasjonsenheter/CN under den valgte banen, vil de også være synlige for NetWorker. Dette kan brukes til å gi tillatelser til brukere/grupper under en bestemt bane; Omvendt åpner det også tilgang til grupper/ressurser under en spesifisert bane. Hvis du trenger hjelp med å få de riktige søkebanene for brukere og grupper, kan du ta kontakt med domeneadministratoren.
- Logg på NetWorker Web User Interface (NWUI) med standard NetWorker Administrator-konto.
- Gå til Authentication server-external>authority.
- Velg ressursen for den eksterne autoriteten, og klikk på REDIGER.
- Fra de eksterne ressursegenskapene går du til kategorien AVANSERT KONFIGURASJON.
- Oppdater feltene Gruppesøkebane og Brukersøkebane slik at de inkluderer OU/CN-banen (unntatt DC-verdier) til den overordnede organisasjonsenheten/CN-ressursen du vil at NetWorker-authc skal ha lesetilgang til.
- Gå til fanen GRUNNLEGGENDE KONFIGURASJON .
- I feltet User DN Password skriver du inn passordet til DN-brukerkontoen for brukeren.
- Klikk på LAGRE. Ressursen rapporterer hvis den oppdateres:
Brukere/grupper som befinner seg under gruppesøkebanen og brukersøkebanen som er angitt, vil fortsatt kunne logge på NWUI; Brukere som bor utenfor disse banene, får imidlertid ikke NWUI-tilgang.
Additional Information
På NetWorker-serveren kontrollerer du hvilke eksterne brukere/grupper som er definert i NetWorker-brukergrupper:
nsradmin show name; external roles print type: nsr usergroup
En ekstern bruker kan bli funnet av authc; er imidlertid ikke medlem av noen av gruppene som er definert i feltene for eksterne roller i NSR-brukergruppen. Brukeren defineres heller ikke i noen av disse feltene:
På NetWorker-godkjenningsserveren kontrollerer du AD/LDAP-gruppene som en bruker tilhører.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
I dette tilfellet er ikke brukeren testuser2 en del av NetWorker_Admins AD-gruppen som er angitt i feltene eksterne roller for NSR-brukergruppen , og bruker-DN er heller ikke definert i feltene eksterne roller.