NWUI: AD-/LDAP-käyttäjä, jota ei ole määritetty NetWorkerissa, voi tarkastella koontinäyttöä.
Summary: Ulkoinen todennus (AD/LDAP) on integroitu NetWorkeriin. AD-/LDAP-käyttäjille tai -ryhmille on integroitu NetWorker-rooleja; Ulkoinen käyttäjä, jolle ei ole myönnetty oikeuksia NetWorkerissa, voi kuitenkin kirjautua NWUI:hin ja tarkastella koontinäyttöä. ...
Symptoms
AD/LDAP on integroitu NetWorkeriin. NetWorkerin ulkoisen auktoriteetin integroinnille ei ole määritetty käyttäjän tairyhmän hakupolkua (yleinen lukuoikeus):
AD-/LDAP-käyttäjät tai -ryhmät on lisätty palvelinkäyttäjäryhmien> ulkoisten roolien kenttiin. AD/LDAP-käyttäjä ei kuulu mihinkään NetWorkerissa määritettyyn ryhmään, eikä käyttäjää ole määritelty mihinkään NSR-käyttäjäryhmään.
AD-/LDAP-käyttäjä voi kirjautua NetWorker Web User Interface (NWUI) -käyttöliittymään ja nähdä Dashboard- ja Monitoring-välilehdet:
Käyttäjä ei voi tarkistaa tai muuttaa NetWorker-määritystä. He voivat kuitenkin käyttää NetWorker-palvelimella tehtyjen tai käynnissä olevien töiden tietoja:
Cause
Tämä ongelma on nostettu NetWorker-suunnittelulle. NetWorker toimii suunnitellusti. Jos käyttäjän hakupolkua tai ryhmän hakupolkua ei ole määritetty, NetWorker authc:llä on yleinen lukuoikeus koko AD-/LDAP-rakenteeseen.
Tämä voidaan havaita myös, jos käyttäjän hakupolku ja/tai ryhmähakupolku on asetettu, mutta se on asetettu alhaiseksi AD/LDAP-rakenteessa, jolloin alipuuhaku voi poimia käyttäjät/ryhmät polun alapuolelta.
Resolution
Rajoita NetWorkerin AD/LDAP-organisaation näkyvyys vain käyttäjille/ryhmille, joilla pitäisi olla NetWorkerin käyttöoikeus. Tämä voidaan tehdä käyttämällä käyttäjän hakupolku- ja ryhmähakupolkukenttiä NetWorkerin ulkoisen viranomaisen resurssissa.
- Määritä AD-/LDAP-ympäristössä sen pääkontin (CN) tai organisaatioyksikön (OU) yksilöivä nimi (DN), joka tarvitsee NetWorker-käyttöoikeudet.
Esimerkiksi seuraavaa PowerShell-komentoa voidaan käyttää ryhmän sijainnin tunnistamiseen Microsoft AD:ssä:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
Tässä esimerkissä nähdään, että ryhmä kuuluu organisaatioyksikön (OU) alle OU=DELL,DC=networker,DC=lan. Ryhmän hakupolkuna voidaan käyttää ryhmän OU/CN-koodia.
Seuraavan PowerShell-komennon avulla voidaan hakea AD-ryhmän Microsoft AD -käyttäjien sijainti:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Esimerkki:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
HUOMAUTUS: Sinun on otettava huomioon alipuun resurssit. Jos polun alla on esimerkiksi muita organisaatioyksiköitä/CN-yksiköitä, myös ne näkyvät NetWorkerille. Tätä voidaan käyttää käyttöoikeuksien myöntämiseen käyttäjille/ryhmille tietyn polun alla; Toisaalta se avaa myös pääsyn ryhmiin/resursseihin määritetyn polun alla. Jos tarvitset apua sopivien käyttäjien ja ryhmien hakupolkujen löytämisessä, ota yhteyttä verkkotunnuksen järjestelmänvalvojaan.
- Kirjaudu NetWorker Web User Interface (NWUI) -käyttöliittymään oletusarvoisella NetWorker Administrator -tilillä.
- Siirry kohtaan Todennuspalvelin-ulkoinen>viranomainen.
- Valitse ulkoisen myöntäjän resurssi ja valitse MUOKKAA.
- Siirry ulkoisen resurssin ominaisuuksista LISÄASETUKSET-välilehteen.
- Päivitä Ryhmän hakupolku- ja Käyttäjän hakupolku -kentät sisältämään sen päätason OU/CN-resurssin OU/CN-polku (lukuun ottamatta DC-arvoja), johon haluat NetWorker authc:n olevan lukuoikeus.
- Siirry BASIC CONFIGURATION -välilehteen.
- Kirjoita User DN Password (Käyttäjän DN-salasana) -kenttään User DN account -tilin salasana.
- Valitse TALLENNA. Resurssi ilmoittaa, jos päivitys onnistuu:
Käyttäjät/ryhmät, jotka asuvat määritetyn ryhmän hakupolun ja käyttäjän hakupolun alla, voivat silti kirjautua NWUI: hen; näiden polkujen ulkopuolella asuville käyttäjille ei kuitenkaan sallita NWUI-pääsyä.
Additional Information
Tarkista NetWorker-palvelimesta, mitä ulkoisia käyttäjiä/ryhmiä NetWorker-käyttäjäryhmiin on määritetty:
nsradmin show name; external roles print type: nsr usergroup
Ulkopuolisen käyttäjän löytää authc; ei kuitenkaan ole minkään NSR-käyttäjäryhmän ulkoiset roolit -kentissä määritetyn ryhmän jäsen; Käyttäjää ei myöskään ole määritelty missään seuraavista kentistä:
Tarkista NetWorker-todennuspalvelimella, mihin AD-/LDAP-ryhmiin käyttäjä kuuluu.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
Tässä tapauksessa käyttäjä testuser2 ei kuulu NSR-käyttäjäryhmän ulkoisten roolien kenttiin määritettyyn NetWorker_Admins AD -ryhmään, eikä käyttäjän DN:ää ole määritetty ulkoisten roolien kentissä.