NWUI:未在 NetWorker 中定義的 AD/LDAP 使用者可以檢閱儀表板。

Summary: 外部驗證 (AD/LDAP) 已與 NetWorker 整合。AD/LDAP 使用者或群組已整合 NetWorker 角色;但是,尚未在 NetWorker 中獲得任何權限的外部使用者可以登入 NWUI 並檢閱儀表板。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

AD/LDAP 已與 NetWorker 整合。NetWorker 外部授權整合並未指定使用者搜尋路徑群組搜尋路徑 (全域讀取存取):

未在 NetWorker 外部授權資源中設定使用者和群組搜尋路徑

AD/LDAP 使用者或群組已新增至「伺服器使用者>群組」的「外部角色」欄位。AD/LDAP 使用者不屬於 NetWorker 中定義的任何群組,使用者也不會定義在任何 NSR 使用者群組中。

注意:如需有關驗證環境中定義的 NetWorker 權限,以及如何查看哪些 AD/LDAP 使用者屬於哪些 AD/LDAP 群組的指示,請參閱「其他資訊 」一節。

AD/LDAP 使用者可以登入 NetWorker Web 使用者介面 (NWUI),並可以看到儀表板和監控標籤:

AD 使用者登入 NWUI

使用者無法檢閱或變更 NetWorker 組態;但是,他們可以存取 NetWorker 伺服器上已完成或執行工作的相關資訊:

執行工作階段的 NWUI 由無權限的外部使用者檢視

Cause

已向 NetWorker 工程部門提出此問題。NetWorker 是依設計運作。如果未指定 使用者搜尋路徑 群組搜尋路徑 ,NetWorker 認證對整個 AD/LDAP 結構具有全域讀取存取。
如果已設定使用者搜尋路徑和/或群組搜尋路徑,但在 AD/LDAP 結構中將其設定為低,則也可能會發生這種情況,允許子樹搜尋以選取路徑集下方的使用者/群組。

Resolution

將 NetWorker 的 AD/LDAP 組織可見度限制為僅應可存取 NetWorker 的使用者/群組。您可以使用 NetWorker 外部授權資源中的 使用者搜尋路徑群組搜尋路徑欄位來完成此作業。

  1. 在 AD/LDAP 環境中,識別需要 NetWorker 存取的父容器 (CN) 或組織單位 (OU) 的辨別名稱 (DN)。

例如,下列 PowerShell 命令可用來識別 Microsoft AD 內群組的位置:

Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
範例: 
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName

Name             ObjectClass DistinguishedName
----             ----------- -----------------
NetWorker_Admins group       CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan

在此範例中,我們可以看到群組屬於組織單位 (OU) OU=DELL、DC=networker、DC=lan。群組的 OU/CN 可作為群組搜尋路徑


下列 PowerShell 命令可用來取得 AD 群組中Microsoft AD 使用者的位置: 
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

範例:

PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Name                         SamAccountName ObjectClass DistinguishedName
----                         -------------- ----------- -----------------
NetWorker Engineering        nwree          user        CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan
Backup Administrator         bkupadmin      user        CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
在此示例中,我們可以看到組中的使用者可能存在於多個位置;但是,在此情況下,兩個使用者都屬於 OU OU=DELL、DC=networker、DC=lan。使用者的 OU/CN 可作為使用者搜尋路徑

注意:您必須考慮子樹資源。例如,如果選取的路徑下有其他 OU/CN,NetWorker 也會顯示這些內容。這可用於向特定路徑下的使用者/組授予許可權;相反,它還會打開對指定路徑下的組/資源的訪問許可權。如需取得適當使用者和群組搜尋路徑的協助,請諮詢您的網域管理員。
  1. 使用預設的 NetWorker 系統管理員帳戶登入 NetWorker Web 使用者介面 (NWUI)。
  2. 前往驗證伺服器 ->外部授權單位
  3. 選取外部授權資源,然後按一下編輯
  4. 從外部資源屬性中,前往進階組態標籤。
  5. 更新群組搜尋路徑使用者搜尋路徑欄位,以包含您想要 NetWorker 認證具有讀取存取權之父 OU/CN 資源的 OU/CN 路徑 (DC 值除外)。
更新群組搜尋路徑和使用者搜尋路徑欄位,以包含 AD 資源
注意:指定搜尋路徑下的任何群組/使用者都可以存取 NWUI。指定路徑之外的任何使用者/組都沒有訪問許可權,即使已授予 使用者組 許可權也是如此。
  1. 前往 基本組態 標籤。
  2. 使用者 DN 密碼欄位中,輸入使用者 DN 帳戶的密碼。
  3. 按一下儲存。資源會報告是否成功更新:
外部授權資源已成功更新

居住在指定的組搜索路徑使用者搜索路徑下的使用者/組仍然可以登錄到 NWUI;但是,不允許居住在這些路徑之外的使用者存取 NWUI。

不允許未經授權的使用者

Additional Information

在 NetWorker 伺服器上,確認 NetWorker 使用者群組中定義了哪些外部使用者/群組:

nsradmin
show name; external roles
print type: nsr usergroup

nsradmin nsr 使用者群組外部角色

可以通過身份驗證找到外部使用者;但是,不是 NSR 使用者組外部角色欄位中定義的任何組的成員;使用者在以下任何欄位中也不是定義的:

在 NetWorker 驗證伺服器上,確認使用者所屬的 AD/LDAP 群組。

authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

authc_mgmt 命令,以顯示使用者在外部身份驗證伺服器上的群組成員身份

在此例項中,使用者 testuser2 不屬於 NSR 使用者群組 外部角色欄位中所集的 NetWorker_Admins AD 群組,使用者 DN 也不屬於外部角色欄位中定義的使用者 DN。

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000252854
Article Type: Solution
Last Modified: 13 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.