NWUI:NetWorkerで定義されていないAD/LDAPユーザーは、ダッシュボードを確認できます。
Summary: 外部認証(AD/LDAP)がNetWorkerに統合されました。AD/LDAPユーザーまたはグループは、統合されたNetWorkerロールになっています。ただし、NetWorkerで権限が付与されていない外部ユーザーは、NWUIにログインしてダッシュボードを確認できます。
Symptoms
AD/LDAPはNetWorkerと統合されています。NetWorker外部認証機関統合には、ユーザー検索パス または グループ検索パス (グローバル読み取りアクセス)が指定されていません。
AD/LDAPユーザーまたはグループが、サーバー>ユーザー グループの外部ロール フィールドに追加されました。AD/LDAPユーザーは、NetWorkerで定義されたグループのいずれにも属さず、どの NSRユーザー グループにも定義されていません。
AD/LDAPユーザーは、NetWorker Webユーザー インターフェイス(NWUI)にログインすると、[Dashboard]タブと[Monitoring]タブを表示できます。
ユーザーはNetWorker構成を確認または変更できません。ただし、NetWorkerサーバー上で完了または実行中のジョブに関する情報にはアクセスできます。
Cause
この問題は、NetWorkerエンジニアリングに提起されています。NetWorkerは設計どおりに動作しています。ユーザー検索パスまたはグループ検索パスが指定されていない場合、NetWorker authcにはAD/LDAP構造全体に対するグローバルな読み取りアクセスがあります。
これは、ユーザー検索パスやグループ検索パスが設定されているが、AD/LDAP構造内で低に設定されているため、サブツリー検索がパス セットの下にあるユーザー/グループを検出できる場合にも発生する可能性があります。
Resolution
AD/LDAP組織に対するNetWorkerの可視性を、NetWorkerへのアクセス権を持つユーザー/グループのみに制限します。これを行うには、NetWorker外部認証機関リソースの [User Search Path]フィールドと[Group Search Path]フィールドを使用します。
- AD/LDAP環境で、NetWorkerアクセスを必要とする親コンテナ(CN)または組織単位(OU)の識別名(DN)を特定します。
たとえば、次のPowerShellコマンドを使用して、Microsoft AD内のグループの場所を特定できます。
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
この例では、グループが組織単位(OU)OU=DELL,DC=networker,DC=lanに属していることを確認できます。グループのOU/CNは、グループ検索パスとして使用できます。
次のPowerShellコマンドを使用して、ADグループ内のMicrosoft ADユーザーの場所を取得できます。
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Example:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
メモ: サブツリー リソースを考慮する必要があります。たとえば、選択したパスの下に他のOU/CNがある場合、それらはNetWorkerでも認識されます。これは、特定のパスでユーザー/グループに権限を付与するために使用できます。逆に、指定したパスの下にあるグループ/リソースへのアクセスも開かれます。適切なユーザーおよびグループの検索パスを取得する方法については、ドメイン管理者に問い合わせてください。
- デフォルトのNetWorker管理者アカウントを使用して、NetWorker Webユーザー インターフェイス(NWUI)にログインします。
- Authentication Server->External Authorityに移動します。
- 外部認証機関リソースを選択し、編集をクリックします。
- 外部リソースのプロパティから、[ADVANCED CONFIGURATION]タブに移動します。
- [Group Search Path]フィールドと[User Search Path]フィールドを更新して、NetWorker authcに読み取りアクセスを許可する親OU/CNリソースへのOU/CNパス(DC値を除く)を含めます。
- [BASIC CONFIGURATION]タブに移動します。
- ユーザーDNパスワードフィールドに、ユーザーDNアカウントのパスワードを入力します。
- SAVEをクリックします。リソースは、正常にアップデートされた場合に次のように報告します。
指定されたグループ検索パスおよびユーザー検索パスの下にあるユーザー/グループは、引き続きNWUIにログインできます。ただし、これらのパスの外部に存在するユーザーには、NWUIアクセスが許可されません。
Additional Information
NetWorkerサーバーで、NetWorkerユーザー グループに定義されている外部ユーザー/グループを確認します。
nsradmin show name; external roles print type: nsr usergroup
外部ユーザーはauthcで見つけることができます。ただし、NSR usergroup external rolesフィールドで定義されたグループのメンバーではありません。また、次のフィールドのいずれにもユーザーが定義されていません。
NetWorker認証サーバーで、ユーザーが属するAD/LDAPグループを確認します。
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
この例では、ユーザーtestuser2 は 、NSRユーザーグループの 外部の役割フィールドに設定されたNetWorker_Admins ADグループの一部ではありません。また、外部の役割フィールドに定義されているユーザーDNもありません。