NWUI: NetWorker da tanımlı olmayan AD/LDAP kullanıcısı panoyu gözden geçirebilir.
Summary: Harici kimlik doğrulama (AD/LDAP), NetWorker ile entegre edilmiştir. AD/LDAP kullanıcıları veya grupları tümleşik NetWorker rollerine sahiptir; ancak, NetWorker'da herhangi bir izin verilmeyen harici bir kullanıcı NWUI'de oturum açabilir ve panoyu gözden geçirebilir. ...
Symptoms
AD/LDAP, NetWorker ile tümleştirilmiştir. NetWorker harici yetki entegrasyonunda bir kullanıcı arama yolu veya grup arama yolu belirtilmemiştir (genel okuma erişimi):
AD/LDAP kullanıcıları veya grupları, Server-User>Groups'un harici roles alanlarına eklenmiş. AD/LDAP kullanıcısı, NetWorker'da tanımlanan grupların hiçbirine ait değildir ve kullanıcı NSR kullanıcı gruplarının hiçbirinde tanımlanmamıştır.
AD/LDAP kullanıcısı, NetWorker Web Kullanıcı Arayüzü ne (NWUI) giriş yapabilir ve Dashboard ve Monitoring sekmelerini görebilir:
Kullanıcı, NetWorker yapılandırmasını gözden geçiremez veya değiştiremez; ancak NetWorker sunucusunda tamamlanan veya çalışan işler hakkındaki bilgilere erişebilirler:
Cause
Bu sorun NetWorker mühendislik ekibine iletildi. NetWorker, tasarlandığı şekilde çalışmaktadır. Kullanıcı arama yolu veya grup arama yolu belirtilmezse NetWorker authc, AD/LDAP yapısının tamamına genel okuma erişimine sahiptir.
Bu durum, bir kullanıcı arama yolu ve/veya grup arama yolu ayarlanmışsa ancak AD/LDAP yapısı içinde düşük olarak ayarlanmışsa ve alt ağaç aramasının ayarlanan yolun altındaki kullanıcıları/grupları almasına izin verecek şekilde gözlemlenebilir.
Resolution
NetWorker'ın AD/LDAP kuruluş görünürlüğünü yalnızca NetWorker'a erişimi olması gereken kullanıcılar/gruplarla kısıtlayın. Bu işlem, NetWorker harici yetki kaynağındaki kullanıcı arama yolu ve grup arama yolu alanları kullanılarak yapılabilir.
- AD/LDAP ortamında, NetWorker erişimi gerektiren üst kapsayıcının (CN) veya Kuruluş Biriminin (OU) Ayırt Edici Adını (DN) tanımlayın.
Örneğin, Microsoft AD içindeki bir grubun konumunu belirlemek için aşağıdaki PowerShell komutu kullanılabilir:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
Bu örnekte, grubun Kuruluş Birimi (OU) altında olduğunu görebiliriz OU=DELL,DC=networker,DC=lan. Grubun OU/CN si, grup arama yolu olarak kullanılabilir.
AD grubundaki Microsoft AD kullanıcılarının konumunu almak için aşağıdaki PowerShell komutu kullanılabilir:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Example:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
NOT: Alt ağaç kaynaklarını göz önünde bulundurmalısınız. Örneğin, seçilen yolun altında başka OU/CN'ler varsa bunlar da NetWorker tarafından görülebilir. Bu, belirli bir yoldaki kullanıcılara/gruplara izin vermek için kullanılabilir; Buna karşılık, belirli bir yolun altındaki gruplara/kaynaklara da erişim sağlar. Uygun kullanıcı ve grup arama yollarını edinme konusunda yardım almak için etki alanı yöneticinize danışın.
- Varsayılan NetWorker Yönetici hesabını kullanarak NetWorker Web Kullanıcı Arayüzü nde (NWUI) oturum açın.
- Authentication Server-External>Authority'ye gidin.
- Harici yetkili kaynağını seçin ve EDIT öğesine tıklayın.
- Harici kaynak özelliklerinden, GELİŞMİŞ YAPILANDIRMA sekmesine gidin.
- Group Search Path ve User Search Path alanlarını, NetWorker authc'nin okuma erişimine sahip olmasını istediğiniz ana OU/CN kaynağının OU/CN yolunu (DC değerleri hariç) içerecek şekilde güncelleyin.
- TEMEL YAPILANDIRMA sekmesine gidin.
- User DN Password alanına, User DN hesabının parolasını girin.
- SAVE öğesine tıklayın. Kaynak, başarıyla güncellenip güncellenmediğini bildirir:
Belirtilen grup arama yolu ve kullanıcı arama yolu altında ikamet eden kullanıcılar/gruplar NWUI'de oturum açmaya devam edebilir; ancak, bu yolların dışında ikamet eden kullanıcıların NWUI erişimine izin verilmeyecektir.
Additional Information
NetWorker sunucusunda, NetWorker kullanıcı gruplarında hangi harici kullanıcıların/grupların tanımlandığını doğrulayın:
nsradmin show name; external roles print type: nsr usergroup
Harici bir kullanıcı authc tarafından bulunabilir; ancak, NSR kullanıcı grubu dış roller alanlarında tanımlanan gruplardan herhangi birinin üyesi değildir; Kullanıcı şu alanlardan hiçbirinde tanımlanmamıştır:
NetWorker kimlik doğrulama sunucusunda, bir kullanıcının ait olduğu AD/LDAP gruplarını doğrulayın.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
Bu örnekte testuser2 kullanıcısı, NSR kullanıcı grubu harici roller alanlarında ayarlanan NetWorker_Admins AD grubunun bir parçası değildir ve harici roller alanlarında tanımlanan kullanıcı DN'si değildir.