NWUI: AD/LDAP-Nutzer, die nicht in NetWorker definiert sind, können das Dashboard überprüfen.
Summary: Die externe Authentifizierung (AD/LDAP) wurde in NetWorker integriert. AD-/LDAP-Nutzer oder -Gruppen wurden in NetWorker-Rollen integriert. Ein externer Nutzer, dem keine Berechtigungen in NetWorker erteilt wurden, kann sich jedoch bei NWUI anmelden und das Dashboard überprüfen. ...
Symptoms
AD/LDAP wurde in NetWorker integriert. Für die Integration der externen Autorität von NetWorker ist kein Nutzersuchpfad oder Gruppensuchpfad angegeben (globaler Lesezugriff):
AD/LDAP-Nutzer oder -Gruppen wurden zu den Feldern für externe Rollen von Server-Nutzergruppen> hinzugefügt. Ein AD/LDAP-Nutzer gehört keiner der in NetWorker definierten Gruppen an und der Nutzer ist in keiner der NSR-Nutzergruppen definiert.
Der AD/LDAP-Nutzer kann sich bei der NetWorker-Webnutzeroberfläche (NWUI) anmelden und die Registerkarten Dashboard und Monitoring anzeigen:
Der Nutzer ist nicht in der Lage, die NetWorker-Konfiguration zu überprüfen oder zu ändern. Sie können jedoch auf Informationen zu abgeschlossenen oder ausgeführten Jobs auf dem NetWorker-Server zugreifen:
Cause
Dieses Problem wurde gegenüber dem NetWorker-Engineering gemeldet. NetWorker funktioniert wie vorgesehen. Wenn kein Nutzersuchpfad oder Gruppensuchpfad angegeben ist, verfügt NetWorker authc über globalen Lesezugriff auf die gesamte AD-/LDAP-Struktur.
Dies kann auch beobachtet werden, wenn ein Nutzersuchpfad und/oder Gruppensuchpfad festgelegt wurde, dieser Pfad jedoch innerhalb der AD/LDAP-Struktur auf niedrig eingestellt ist, sodass die Unterstruktursuche Nutzer/Gruppen unterhalb des festgelegten Pfads aufnehmen kann.
Resolution
Beschränken Sie die Sichtbarkeit der AD/LDAP-Organisation durch NetWorker auf nur Nutzer/Gruppen, die Zugriff auf NetWorker haben sollten. Dies kann mithilfe der Felder "user search path" und "group search path" in der externen NetWorker-Autoritätsressource erfolgen.
- Identifizieren Sie in der AD/LDAP-Umgebung den Distinguished Name (DN) des übergeordneten Containers (CN) oder der Organisationseinheit (OU), der NetWorker-Zugriff erfordert.
Beispielsweise kann der folgende PowerShell-Befehl verwendet werden, um den Speicherort einer Gruppe in Microsoft AD zu identifizieren:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
In diesem Beispiel sehen wir, dass die Gruppe zur Organisationseinheit (OU) OU=DELL,DC=networker,DC=lan gehört. OU/CN der Gruppe kann als Gruppensuchpfad verwendet werden.
Der folgende PowerShell-Befehl kann verwendet werden, um den Standort von Microsoft AD-Nutzern innerhalb einer AD-Gruppe abzurufen:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Beispiel:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
HINWEIS: Sie müssen Teilstrukturressourcen berücksichtigen. Wenn beispielsweise andere OU/CN unter dem ausgewählten Pfad vorhanden sind, sind diese ebenfalls für NetWorker sichtbar. Dies kann verwendet werden, um Benutzern/Gruppen unter einem bestimmten Pfad Berechtigungen zu erteilen. Umgekehrt wird auch der Zugriff auf Gruppen/Ressourcen unter einem bestimmten Pfad geöffnet. Wenden Sie sich an Ihren Domainadministrator, um Unterstützung beim Abrufen der entsprechenden Nutzer- und Gruppensuchpfade zu erhalten.
- Melden Sie sich mit dem NetWorker-Standardadministratorkonto bei der NetWorker-Webnutzeroberfläche (NWUI) an.
- Navigieren Sie zu Authentifizierungsserver –>Externe Autorität.
- Wählen Sie die externe Autoritätsressource aus und klicken Sie auf EDIT.
- Navigieren Sie in den Eigenschaften der externen Ressource zur Registerkarte ERWEITERTE KONFIGURATION.
- Aktualisieren Sie die Felder Group Search Path und User Search Path, um den OU/CN-Pfad (ohne DC-Werte) zur übergeordneten OU/CN-Ressource einzuschließen, auf die NetWorker authc Lesezugriff haben soll.
- Navigieren Sie zur Registerkarte BASIC CONFIGURATION .
- Geben Sie im Feld Nutzer-DN-Kennwort das Kennwort des Nutzer-DN-Kontos ein.
- Klicken Sie auf SAVE. Die Ressource meldet, ob sie erfolgreich aktualisiert wurde:
Benutzer/Gruppen, die sich unter dem angegebenen Gruppensuchpfad und Benutzersuchpfad befinden, können sich weiterhin bei der NWUI anmelden. Benutzern, die sich außerhalb dieser Pfade befinden, wird jedoch kein NWUI-Zugriff gewährt.
Additional Information
Überprüfen Sie auf dem NetWorker-Server, welche externen Nutzer/Gruppen in NetWorker-Nutzergruppen definiert sind:
nsradmin show name; external roles print type: nsr usergroup
Ein externer Benutzer kann von authc gefunden werden; ist jedoch kein Mitglied einer der Gruppen, die in den Feldern NSR usergroup external roles definiert sind. Der Nutzer ist auch in keinem der folgenden Felder nutzerdefiniert:
Überprüfen Sie auf dem NetWorker-Authentifizierungsserver die AD/LDAP-Gruppen, denen ein Nutzer angehört.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
In diesem Fall ist der Nutzer testuser2 weder Teil der NetWorker_Admins AD-Gruppe, die in den Feldern NSR usergroup external roles festgelegt ist, noch ist der Nutzer-DN in den Feldern für externe Rollen definiert.