NWUI:未在 NetWorker 中定义的 AD/LDAP 用户可以查看控制面板。

Summary: 外部身份验证 (AD/LDAP) 已与 NetWorker 集成。AD/LDAP 用户或组已成为集成的 NetWorker 角色;但是,在 NetWorker 中未获得任何权限的外部用户可以登录 NWUI 并查看控制面板。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

AD/LDAP 已与 NetWorker 集成。NetWorker 外部机构集成未指定用户搜索路径组搜索路径 (全局读取访问权限):

未在 NetWorker 外部授权资源中设置用户和组搜索路径

AD/LDAP 用户或组已添加到服务器>用户组的外部角色字段中。AD/LDAP 用户不属于 NetWorker 中定义的任何组,并且用户未在任何 NSR 用户组中定义。

提醒:有关验证环境中定义的 NetWorker 权限以及如何查看哪些 AD/LDAP 用户属于哪些 AD/LDAP 组的说明,请参阅“其他信息 ”部分。

AD/LDAP 用户可以登录到 NetWorker Web 用户界面 (NWUI),并能看到 Dashboard和 Monitoring选项卡:

AD 用户登录到 NWUI

用户无法查看或更改 NetWorker 配置;但是,他们可以访问 NetWorker 服务器上已完成或正在运行的作业的相关信息:

非特权外部用户查看的 NWUI 运行会话

Cause

此问题已向 NetWorker 工程部门提出。NetWorker 按设计正常工作。如果未指定 用户搜索路径 组搜索路径 ,则 NetWorker authc 对整个 AD/LDAP 结构具有全局读取访问权限。
如果已设置用户搜索路径和/或组搜索路径,但在AD/LDAP结构中将其设置为低,则也可能会观察到这种情况,从而允许子树搜索来选取路径集以下的用户/组。

Resolution

将 NetWorker 对 AD/LDAP 组织的可见性限制为仅应有权访问 NetWorker 的用户/组。这可以使用 NetWorker 外部授权资源中的 用户搜索路径组搜索路径字段来完成。

  1. 在 AD/LDAP 环境中,标识需要 NetWorker 访问权限的父容器 (CN) 或组织单元 (OU) 的可分辨名称 (DN)。

例如,以下 PowerShell 命令可用于标识组在 Microsoft AD 中的位置:

Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
示例: 
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName

Name             ObjectClass DistinguishedName
----             ----------- -----------------
NetWorker_Admins group       CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan

在此示例中,我们可以看到该组属于组织单元 (OU) OU=DELL,DC=networker,DC=lan。组的 OU/CN 可用作组搜索路径


以下 PowerShell 命令可用于获取 AD 组中 Microsoft AD 用户的位置: 
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

示例:

PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Name                         SamAccountName ObjectClass DistinguishedName
----                         -------------- ----------- -----------------
NetWorker Engineering        nwree          user        CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan
Backup Administrator         bkupadmin      user        CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
在此示例中,我们可以看到组中的用户可能存在于多个位置;但是,在这种情况下,两个用户都属于 OU OU=DELL,DC=networker,DC=lan。用户的 OU/CN 可用作用户搜索路径

提醒:您必须考虑子树资源。例如,如果所选路径下还有其他 OU/CN,它们也会对 NetWorker 可见。这可用于向特定路径下的用户/组授予权限;相反,它还会打开对指定路径下的组/资源的访问权限。有关获取相应用户和组搜索路径的帮助,请咨询您的域管理员。
  1. 使用默认 NetWorker 管理员帐户登录 NetWorker Web 用户界面 (NWUI)。
  2. 转至Authentication Server-External>Authority
  3. 选择外部机构资源,然后单击编辑
  4. 从外部资源属性中,转至 ADVANCED CONFIGURATION选项卡。
  5. 更新组搜索路径用户搜索路径字段,以包括您希望 NetWorker authc 具有读取访问权限的父 OU/CN 资源的 OU/CN 路径(不包括 DC 值)。
更新组搜索路径和用户搜索路径字段以包含 AD 资源
提醒:指定搜索路径下的任何组/用户均可访问 NWUI。指定路径之外的任何用户/组均无权访问,即使已授予 用户组 权限也是如此。
  1. 转至 BASIC CONFIGURATION 选项卡。
  2. 用户 DN 密码字段中,输入用户 DN 帐户的密码。
  3. 单击 SAVE。资源报告它是否更新成功:
外部机构资源更新成功

位于指定的组搜索路径用户搜索路径下的用户/组仍可登录 NWUI;但是,位于这些路径之外的用户将不被允许访问 NWUI。

不允许未经授权的用户

Additional Information

在 NetWorker 服务器上,验证 NetWorker 用户组中定义了哪些外部用户/组:

nsradmin
show name; external roles
print type: nsr usergroup

nsradmin nsr 用户组外部角色

authc 可以找到外部用户;但是,不是 NSR 用户组外部角色字段中定义的任何组的成员;用户在以下任何字段中都不是定义的:

在 NetWorker 身份认证服务器上,验证用户所属的 AD/LDAP 组。

authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

authc_mgmt命令以显示外部身份验证服务器上的用户组成员身份

在此实例中,用户 testuser2 不是在 NSR 用户组 外部角色字段中设置的 NetWorker_Admins AD 组的一部分,也不是在外部角色字段中定义的用户 DN。

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000252854
Article Type: Solution
Last Modified: 13 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.