NWUI. Пользователь AD/LDAP, не определенный в NetWorker, может просматривать панель мониторинга.
Summary: Внешняя аутентификация (AD/LDAP) интегрирована в NetWorker. Пользователям или группам AD/LDAP интегрированы роли NetWorker; однако внешний пользователь, которому не предоставлены какие-либо разрешения в NetWorker, может войти в NWUI и просмотреть панель управления. ...
Symptoms
AD/LDAP интегрированы с NetWorker. Для интеграции с внешним центром NetWorker не указан путь поиска пользователя или путь поиска группы (глобальный доступ для чтения).
Пользователи или группы AD/LDAP добавлены в поля внешних ролей в разделе «Server-User>Groups». Пользователь AD/LDAP не принадлежит ни к одной из групп, определенных в NetWorker, и сам пользователь не определен ни в одной из групп пользователей NSR.
Пользователь AD/LDAP может войти в пользовательский веб-интерфейс NetWorker (NWUI) и увидеть вкладки Dashboard и Monitoring.
Пользователь не может просматривать или изменять конфигурацию NetWorker; однако они могут получить доступ к информации о завершенных или выполняющихся заданиях на сервере NetWorker:
Cause
Эта проблема была поднята перед инженерами NetWorker. NetWorker работает должным образом. Если путь поиска пользователя или путь поиска группы не указан, NetWorker authc имеет глобальный доступ для чтения ко всей структуре AD/LDAP.
Это также может наблюдаться, если был задан путь поиска пользователя и/или путь поиска группы, но в структуре AD/LDAP он установлен как низкий, что позволяет поиску в поддереве выбирать пользователей или группы ниже набора путей.
Resolution
Ограничьте видимость организации AD/LDAP для NetWorker только пользователями или группами, которые должны иметь доступ к NetWorker. Это можно сделать с помощью полей « User search path» и «Group search path» в внешнем авторитетном ресурсе NetWorker.
- В среде AD/LDAP определите различающееся имя (DN) родительского контейнера (CN) или организационного подразделения (OU), для которых требуется доступ NetWorker.
Например, для определения расположения группы в Microsoft AD можно использовать следующую команду PowerShell:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
В этом примере видно, что группа относится к организационному подразделению (OU) OU=DELL,DC=networker,DC=lan. В качестве пути для поиска группы можно использовать OU/CN группы.
Для получения местоположений пользователей Microsoft AD в группе AD можно использовать следующую команду PowerShell:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Пример.
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
ПРИМЕЧАНИЕ. Необходимо учитывать ресурсы поддерева. Например, если под выбранным путем имеются другие подразделения/CN, они также будут видны для NetWorker. Это может быть использовано для предоставления разрешений пользователям/группам по определенному пути; И наоборот, он также открывает доступ к группам и ресурсам, находящимся по указанному пути. Для получения помощи по поиску подходящих путей поиска пользователей и групп обратитесь к администратору домена.
- Войдите в веб-интерфейс пользователя NetWorker (NWUI), используя учетную запись администратора NetWorker по умолчанию.
- Перейдите в раздел Сервер проверки подлинности —>Внешний центр сертификации.
- Выберите ресурс внешнего центра сертификации и нажмите РЕДАКТИРОВАТЬ.
- В окне свойств внешнего ресурса перейдите на вкладку РАСШИРЕННАЯ КОНФИГУРАЦИЯ.
- Обновите поля «Путь группового поиска» и « Путь поиска пользователя», включив в них путь OU/CN (исключая значения DC) к родительскому ресурсу OU/CN, к которому должна быть предоставлена аутентификация NetWorker.
- Перейдите на вкладку BASIC CONFIGURATION .
- В поле User DN Password введите пароль учетной записи User DN.
- Нажмите кнопку СОХРАНИТЬ. Ресурс сообщает об успешном обновлении:
Пользователи/группы, которые находятся по указанному пути поиска группы и пути поиска пользователей, по-прежнему смогут входить в NWUI; однако пользователям, находящимся за пределами этих путей, доступ к NWUI запрещен.
Additional Information
На сервере NetWorker проверьте, какие внешние пользователи/группы определены в разделе Группы пользователей NetWorker:
nsradmin show name; external roles print type: nsr usergroup
Внешний пользователь может быть найден с помощью authc; однако не является членом ни одной из групп, определенных в полях внешних ролей группы пользователей NSR; Пользовательское имя также не определено ни в одном из этих полей:
На сервере аутентификации NetWorker проверьте группы AD/LDAP, к которым принадлежит пользователь.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
В этом случае пользователь testuser2 не входит в группу AD NetWorker_Admins, заданную в полях внешних ролей группы пользователей NSR , а также не определено различающееся имя пользователя в полях внешних ролей.