NWUI: Użytkownik AD/LDAP, który nie został zdefiniowany w NetWorker, może przejrzeć pulpit nawigacyjny.
Summary: Uwierzytelnianie zewnętrzne (AD/LDAP) zostało zintegrowane z NetWorker. Użytkownicy lub grupy AD/LDAP mają zintegrowane role NetWorker; jednak użytkownik zewnętrzny, który nie ma żadnych uprawnień w NetWorker, może zalogować się do NWUI i przejrzeć pulpit nawigacyjny. ...
Symptoms
Usługa AD/LDAP została zintegrowana z NetWorker. Integracja instytucji zewnętrznej NetWorker nie ma określonej ścieżki wyszukiwania użytkownika lub ścieżki wyszukiwania grupy (globalny dostęp do odczytu):
Użytkownicy lub grupy AD/LDAP zostały dodane do pól ról zewnętrznych w grupach użytkowników serwera>. Użytkownik AD/LDAP nie należy do żadnej z grup zdefiniowanych w NetWorker, a użytkownik nie jest zdefiniowany w żadnej z grup użytkowników NSR.
Użytkownik AD/LDAP może zalogować się do sieciowego interfejsu użytkownika NetWorker (NWUI) i wyświetlić karty Dashboard i Monitoring:
Użytkownik nie może przeglądać ani zmieniać konfiguracji NetWorker; Mogą jednak uzyskać dostęp do informacji o ukończonych lub uruchomionych zadaniach na serwerze NetWorker:
Cause
Ten problem został zgłoszony inżynierom NetWorker. NetWorker działa zgodnie z założeniami. Jeśli nie określono ścieżki wyszukiwania użytkownika lub ścieżki wyszukiwania grupy , uwierzytelnianie NetWorker ma globalny dostęp do odczytu do całej struktury AD/LDAP.
Można to również zaobserwować, jeśli ścieżka wyszukiwania użytkownika i/lub ścieżka wyszukiwania grupy została ustawiona, ale jest ustawiona na niską w strukturze AD/LDAP, co pozwala przeszukiwaniu poddrzewa w celu pobrania użytkowników/grup poniżej ustawionej ścieżki.
Resolution
Ogranicz widoczność organizacji AD/LDAP w NetWorker tylko do użytkowników/grup, które powinny mieć dostęp do NetWorker. Można to zrobić za pomocą pól ścieżki wyszukiwania użytkownika i ścieżki wyszukiwania grupy w zasobie uprawnień zewnętrznych NetWorker.
- W środowisku AD/LDAP zidentyfikuj nazwę wyróżniającą (DN) kontenera nadrzędnego (CN) lub jednostki organizacyjnej (OU), które wymagają dostępu NetWorker.
Na przykład następujące polecenie programu PowerShell może służyć do identyfikowania lokalizacji grupy w usłudze Microsoft AD:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
W tym przykładzie widzimy, że grupa należy do jednostki organizacyjnej (OU) OU=DELL,DC=networker,DC=lan. Jednostka organizacyjna/CN grupy może być używana jako ścieżka wyszukiwania grupy.
Następujące polecenie programu PowerShell może służyć do uzyskania lokalizacji użytkowników usługi Microsoft AD w grupie usługi AD:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Przykład:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
UWAGA: Należy wziąć pod uwagę zasoby poddrzewa. Jeśli na przykład w wybranej ścieżce znajdują się inne jednostki organizacyjne/CN, będą one również widoczne dla NetWorker. Można tego użyć do przyznania uprawnień użytkownikom/grupom w ramach określonej ścieżki; I odwrotnie, otwiera również dostęp do grup/zasobów poniżej określonej ścieżki. Aby uzyskać pomoc w uzyskaniu odpowiednich ścieżek wyszukiwania użytkowników i grup, skontaktuj się z administratorem domeny.
- Zaloguj się do sieciowego interfejsu użytkownika NetWorker (NWUI) przy użyciu domyślnego konta administratora NetWorker.
- Przejdź do pozycji Authentication Server — External Authority (Serwer uwierzytelniania —>urząd zewnętrzny).
- Wybierz zasób instytucji zewnętrznej i kliknij przycisk EDYTUJ.
- We właściwościach zasobu zewnętrznego przejdź do karty KONFIGURACJA ZAAWANSOWANA.
- Zaktualizuj pola Group Search Path i User Search Path, aby uwzględnić ścieżkę OU/CN (z wyłączeniem wartości DC) do nadrzędnego zasobu jednostki organizacyjnej/CN, do którego uwierzytelnianie NetWorker ma mieć dostęp do odczytu.
- Przejdź do zakładki BASIC CONFIGURATION .
- W polu Hasło nazwy wyróżniającej użytkownika wprowadź hasło konta nazwy wyróżniającej użytkownika.
- Kliknij ZAPISZ. Zasób zgłasza, czy został pomyślnie zaktualizowany:
Użytkownicy/grupy, którzy znajdują się w określonej ścieżce wyszukiwania grupy i ścieżce wyszukiwania użytkownika, nadal będą mogli logować się do NWUI; jednak użytkownicy mieszkający poza tymi ścieżkami nie będą mieli dostępu do NWUI.
Additional Information
Na serwerze NetWorker sprawdź, jacy zewnętrzni użytkownicy/grupy są zdefiniowani w grupach użytkowników NetWorker:
nsradmin show name; external roles print type: nsr usergroup
Użytkownika zewnętrznego można znaleźć przez autoryzację; nie jest jednak członkiem żadnej z grup zdefiniowanych w polach ról zewnętrznych grupy użytkowników NSR; Użytkownik nie jest również zdefiniowany w żadnym z następujących pól:
Na serwerze uwierzytelniania NetWorker sprawdź grupy AD/LDAP, do których należy użytkownik.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
W takim przypadku użytkownik testuser2 nie jest częścią grupy NetWorker_Admins AD ustawionej w polach ról zewnętrznych grupy użytkowników NSR , a nazwa wyróżniająca użytkownika nie jest zdefiniowana w polach ról zewnętrznych.