NWUI: Uživatel AD/LDAP, který není definován v nástroji NetWorker, může řídicí panel zkontrolovat.
Summary: Do nástroje NetWorker bylo integrováno externí ověřování (AD/LDAP). Uživatelům nebo skupinám AD/LDAP byly integrovány role NetWorker. Externí uživatel, kterému nebyla v nástroji NetWorker udělena žádná oprávnění, se však může přihlásit do NWUI a zkontrolovat řídicí panel. ...
Symptoms
Služba AD/LDAP byla integrována s nástrojem NetWorker. Integrace externí autority NetWorker nemá zadánou cestu pro vyhledávání uživatelů ani skupin (globální přístup pro čtení):
Uživatelé nebo skupiny AD/LDAP byli přidáni do polí externích rolí skupin uživatelůserveru>. Uživatel AD/LDAP nepatří do žádné ze skupin definovaných v nástroji NetWorker a uživatel není definován v žádné z uživatelských skupin NSR.
Uživatel AD/LDAP se může přihlásit do webového uživatelského rozhraní NetWorker (NWUI) a může zobrazit karty Dashboard a Monitoring:
Uživatel nemůže zkontrolovat ani změnit konfiguraci NetWorker. Mohou však získat přístup k informacím o dokončených nebo spuštěných úlohách na serveru NetWorker:
Cause
Na tento problém se obrátil technický tým NetWorker. Nástroj NetWorker funguje standardním způsobem. Není-li zadána žádná cesta hledání uživatelů ani skupin , bude mít ověření NetWorker globální přístup pro čtení k celé struktuře AD/LDAP.
K tomu může dojít také v případě, že byla nastavena vyhledávací cesta uživatelů a/nebo skupinová vyhledávací cesta, ale ve struktuře AD/LDAP je nastavena na nízkou hodnotu, což umožňuje vyhledávání v podstromu vyzvednout uživatele/skupiny pod nastavenou cestou.
Resolution
Omezte viditelnost organizace AD/LDAP pomocí nástroje NetWorker pouze na uživatele nebo skupiny, které by měly mít přístup k nástroji NetWorker. To lze provést pomocí polí Cesta hledání uživatele a Cesta hledání skupiny ve zdroji externí autority NetWorker.
- V prostředí AD/LDAP identifikujte rozlišující název (DN) nadřazeného kontejneru (CN) nebo organizační jednotky (OU), které vyžadují přístup k NetWorker.
Například k identifikaci umístění skupiny v rámci Microsoft AD lze použít následující příkaz PowerShellu:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
V tomto příkladu vidíme, že skupina patří do organizační jednotky (OU) OU=DELL,DC=networker,DC=lan. Organizační jednotku/CN skupiny lze použít jako cestu hledání skupiny.
K získání umístění uživatelů Microsoft AD v rámci skupiny AD je možné použít následující příkaz PowerShellu:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Příklad:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
POZNÁMKA: Je nutné vzít v úvahu prostředky podstromu. Pokud jsou například pod vybranou cestou další organizační jednotky/CN, budou také viditelné pro NetWorker. Dá se použít k udělení oprávnění uživatelům nebo skupinám v konkrétní cestě. Naopak také otevře přístup ke skupinám nebo prostředkům pod zadanou cestou. Potřebujete-li pomoc se získáním vhodných vyhledávacích cest uživatelů a skupin, obraťte se na správce domény.
- Přihlaste se do webového uživatelského rozhraní NetWorker (NWUI) pomocí výchozího účtu správce NetWorker.
- Přejděte do části Authentication Server –>External Authority.
- Vyberte zdroj externí autority a klikněte na možnost UPRAVIT.
- Ve vlastnostech externího prostředku přejděte na kartu POKROČILÁ KONFIGURACE.
- Aktualizujte pole Vyhledávací cesta skupiny a Cesta hledání uživatele tak, aby zahrnovala cestu organizační jednotky/CN (bez hodnot řadiče domény) k nadřazenému prostředku organizační jednotky/CN, ke kterému má mít ověřování NetWorker přístup pro čtení.
- Přejděte na kartu BASIC CONFIGURATION .
- Do pole User DN Password zadejte heslo účtu User DN.
- Klikněte na ULOŽIT. Pokud se prostředek úspěšně aktualizuje, zobrazí se sestavy:
Uživatelé/skupiny, kteří se nacházejí v zadané vyhledávací cestě skupiny a zadané vyhledávací cestě uživatele, se budou stále moci přihlásit do NWUI; uživatelům, kteří se nacházejí mimo tyto cesty, však nebude povolen přístup k NWUI.
Additional Information
Na serveru NetWorker ověřte, jací externí uživatelé/skupiny jsou definováni ve skupinách uživatelů NetWorker:
nsradmin show name; external roles print type: nsr usergroup
Externího uživatele lze najít pomocí authc; není však členem žádné ze skupin definovaných v polích externích rolí uživatelské skupiny NSR; Uživatel není definován ani v žádném z těchto polí:
Na ověřovacím serveru NetWorker ověřte skupiny AD/LDAP, do kterých uživatel patří.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
V tomto případě uživatel testuser2 není součástí skupiny NetWorker_Admins AD nastavené v polích externích rolí uživatelské skupiny NSR , ani není definováno DN uživatele v polích externích rolí.