NWUI: AD/LDAP-brugere, der ikke er defineret i NetWorker, kan gennemse dashboardet.

Summary: Ekstern godkendelse (AD/LDAP) er blevet integreret med NetWorker. AD/LDAP-brugere eller -grupper er blevet integrerede NetWorker-roller. En ekstern bruger, der ikke har fået nogen tilladelser i NetWorker, kan dog logge på NWUI og gennemse dashboardet. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

AD/LDAP er integreret med NetWorker. NetWorkers eksterne autoritetsintegration har ikke en brugersøgesti eller gruppesøgesti angivet (global læseadgang):

Bruger- og gruppesøgestier er ikke angivet i NetWorkers External Authority-ressource

AD/LDAP-brugere eller -grupper er blevet føjet til felterne eksterne roller i Server-brugergrupper>. En AD/LDAP-bruger tilhører ikke nogen af de grupper, der er defineret i NetWorker, og brugeren er ikke defineret i nogen af NSR-brugergrupperne.

BEMÆRK: Se afsnittet Yderligere oplysninger for at få instruktioner om kontrol af de NetWorker-tilladelser, der er defineret i et miljø, og hvordan du kan se, hvilke AD/LDAP-brugere der tilhører hvilke AD/LDAP-grupper.

AD/LDAP-brugeren kan logge på NetWorker Web User Interface (NWUI) og se fanerne Dashboard og Overvågning:

AD-bruger logget på NWUI

Brugeren kan ikke gennemse eller ændre NetWorker-konfigurationen. De kan dog få adgang til oplysninger om fuldførte eller kørende job på NetWorker-serveren:

NWUI, der kører sessioner, set af ikke-privilegerede eksterne brugere

Cause

Dette spørgsmål er blevet rejst over for NetWorker-teknik. NetWorker virker efter hensigten. Hvis der ikke er angivet en brugersøgesti eller gruppesøgesti , har NetWorker-authc global læseadgang til hele AD/LDAP-strukturen. 
Dette kan også observeres, hvis der er indstillet en brugersøgesti og/eller gruppesøgesti, men den er indstillet til lav inden for AD/LDAP-strukturen, hvilket gør det muligt for undertræssøgning at hente brugere/grupper under den indstillede sti.

Resolution

Begræns NetWorkers synlighed af AD/LDAP-organisationen til kun brugere/grupper, som bør have adgang til NetWorker. Dette kan gøres ved hjælp af felterne brugersøgesti og gruppesøgesti i NetWorkers eksterne autoritetsressource.

  1. I AD/LDAP-miljøet skal du identificere entydigt navn (DN) på den overordnede container (CN) eller organisationsenhed (OU), der kræver NetWorker-adgang.

For eksempel, Følgende PowerShell-kommando kan bruges til at identificere placeringen af en gruppe i Microsoft AD:

Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
Eksempel: 
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName

Name             ObjectClass DistinguishedName
----             ----------- -----------------
NetWorker_Admins group       CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan

I dette eksempel kan vi se, at gruppen hører under Organisationsenhed (OU) OU=DELL,DC=networker,DC=lan. Gruppens OU/CN kan bruges som gruppesøgesti.


Følgende PowerShell-kommando kan bruges til at hente placeringen af Microsoft AD-brugere i en AD-gruppe: 
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Eksempel:

PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Name                         SamAccountName ObjectClass DistinguishedName
----                         -------------- ----------- -----------------
NetWorker Engineering        nwree          user        CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan
Backup Administrator         bkupadmin      user        CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
I dette eksempel kan vi se, at brugere i gruppen kan eksistere mere end ét sted. Men i dette tilfælde hører begge brugere under OU OU=DELL,DC=networker,DC=lan. Brugerens OU/CN kan bruges som brugerens søgesti.

BEMÆRK: Du skal overveje subtree-ressourcer. Hvis der f.eks. er andre OU/CN under den valgte sti, vil de også være synlige for NetWorker. Dette kan bruges til at give tilladelser til brugere/grupper under en bestemt sti; Omvendt åbner det også adgang til grupper / ressourcer under en bestemt sti. Kontakt din domæneadministrator for at få hjælp til at finde de relevante bruger- og gruppesøgestier.
  1. Log på NetWorker Web User Interface (NWUI) med NetWorker-administratorkontoen.
  2. Gå til Godkendelsesserver ->Ekstern myndighed.
  3. Vælg den eksterne myndighedsressource, og klik på REDIGER.
  4. Fra de eksterne ressourceegenskaber skal du gå til fanen AVANCERET KONFIGURATION.
  5. Opdater felterne Gruppesøgesti og Brugersøgesti, så de medtager OU/CN-stien (eksklusive DC-værdier) til den overordnede OU/CN-ressource, som NetWorker-authc skal have læseadgang til.
Opdater felterne for gruppesøgestier og brugersøgestier, så de indeholder AD-ressourcerne
BEMÆRK: Enhver gruppe/bruger under de angivne søgestier kan få adgang til NWUI. Enhver bruger/gruppe uden for den angivne sti har ikke adgang, selvom der er tildelt brugergruppetilladelser .
  1. Gå til fanen GRUNDLÆGGENDE KONFIGURATION .
  2. I feltet Bruger-DN-adgangskode skal du indtaste adgangskoden til Bruger-DN-kontoen.
  3. Klik på GEM. Ressourcen rapporterer, hvis den opdateres korrekt:
Ekstern myndighedsressource blev opdateret

Brugere/grupper, der bor under den angivne gruppesøgesti og brugersøgesti, vil stadig kunne logge ind på NWUI; brugere, der bor uden for disse stier, vil dog ikke få NWUI-adgang.

Uautoriseret bruger er ikke tilladt

Additional Information

På NetWorker-serveren skal du kontrollere, hvilke eksterne brugere/grupper der er defineret i NetWorker-brugergrupper:

nsradmin
show name; external roles
print type: nsr usergroup

Eksterne NSR-brugergrupperoller

En ekstern bruger kan findes af authc; dog ikke er medlem af nogen af de grupper, der er defineret i NSR-brugergruppens eksterne rollefelter; Det brugerdefinerede er heller ikke defineret inden for nogen af disse felter:

På NetWorker-godkendelsesserveren skal du kontrollere de AD/LDAP-grupper, som en bruger tilhører.

authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

authc_mgmt kommando til at vise brugere gruppemedlemskab på ekstern godkendelsesserver

I dette tilfælde er brugeren testuser2 ikke en del af den NetWorker_Admins AD-gruppe, der er angivet i NSR-brugergruppens eksterne rollefelter, og brugerens DN er heller ikke defineret i felterne eksterne roller.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000252854
Article Type: Solution
Last Modified: 13 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.