NWUI: NetWorker에서 정의되지 않은 AD/LDAP 사용자는 대시보드를 검토할 수 있습니다.
Summary: 외부 인증(AD/LDAP)이 NetWorker에 통합되었습니다. AD/LDAP 사용자 또는 그룹은 통합된 NetWorker 역할입니다. 그러나 NetWorker에서 권한이 부여되지 않은 외부 사용자는 NWUI에 로그인하여 대시보드를 검토할 수 있습니다.
Symptoms
AD/LDAP가 NetWorker와 통합되었습니다. NetWorker 외부 기관 통합에 사용자 검색 경로 또는 그룹 검색 경로 가 지정되지 않았습니다(전역 읽기 액세스).
AD/LDAP 사용자 또는 그룹이 서버->사용자 그룹의 외부 역할 필드에 추가되었습니다. AD/LDAP 사용자가 NetWorker에 정의된 그룹에 속하지 않으며 NSR 사용자 그룹에 정의되어 있지 않습니다.
AD/LDAP 사용자는 NWUI(NetWorker Web User Interface)에 로그인하여 Dashboard 및 Monitoring 탭을 볼 수 있습니다.
사용자는 NetWorker 구성을 검토하거나 변경할 수 없습니다. NetWorker Server에서 완료되었거나 실행 중인 작업에 대한 정보에는 액세스할 수 있습니다.
Cause
이 문제는 NetWorker 엔지니어링 팀에 제기되었습니다. NetWorker가 정상적으로 작동하고 있습니다. 사용자 검색 경로 또는 그룹 검색 경로가 지정되지 않은 경우 NetWorker 인증에 전체 AD/LDAP 구조에 대한 글로벌 읽기 액세스 권한이 부여됩니다.
이는 사용자 검색 경로 및/또는 그룹 검색 경로가 설정되었지만 AD/LDAP 구조 내에서 낮음으로 설정되어 하위 트리 검색이 경로 세트 아래의 사용자/그룹을 선택할 수 있는 경우에도 관찰될 수 있습니다.
Resolution
NetWorker의 AD/LDAP 조직 가시성을 NetWorker에 액세스해야 하는 사용자/그룹만으로 제한합니다. 이 작업은 NetWorker 외부 기관 리소스의 사용자 검색 경로 및 그룹 검색 경로 필드를 사용하여 수행할 수 있습니다.
- AD/LDAP 환경에서 NetWorker 액세스가 필요한 CN(상위 컨테이너) 또는 OU(조직 단위)의 DN(Distinguished Name)을 식별합니다.
예를 들어 다음 PowerShell 명령을 사용하여 Microsoft AD 내에서 그룹의 위치를 식별할 수 있습니다.
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
이 예에서는 그룹이 OU(Organization Unit) OU=DELL,DC=networker,DC=lan 아래에 속해 있음을 확인할 수 있습니다. 그룹의 OU/CN을 그룹 검색 경로로 사용할 수 있습니다.
다음 PowerShell 명령을 사용하여 AD 그룹 내에서 Microsoft AD 사용자의 위치를 가져올 수 있습니다.
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
예:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
참고: 하위 트리 리소스를 고려해야 합니다. 예를 들어 선택한 경로 아래에 다른 OU/CN이 있는 경우 NetWorker에도 표시됩니다. 특정 경로의 사용자/그룹에 권한을 부여하는 데 사용할 수 있습니다. 반대로, 지정된 경로 아래에 있는 그룹/리소스에 대한 액세스도 열립니다. 적절한 사용자 및 그룹 검색 경로를 가져오는 데 도움이 필요하면 도메인 관리자에게 문의하십시오.
- 기본 NetWorker 관리자 계정을 사용하여 NWUI(NetWorker Web User Interface)에 로그인합니다.
- 인증 서버->외부 인증 기관으로 이동합니다.
- 외부 기관 리소스를 선택하고 EDIT를 클릭합니다.
- 외부 리소스 속성에서 ADVANCED CONFIGURATION 탭으로 이동합니다.
- NetWorker 인증에 읽기 액세스 권한을 부여할 상위 OU/CN 리소스에 대한 OU/CN 경로(DC 값 제외)를 포함하도록 그룹 검색 경로 및 사용자 검색 경로 필드를 업데이트합니다.
- BASIC CONFIGURATION 탭으로 이동합니다.
- 사용자 DN 비밀번호 필드에 사용자 DN 계정의 비밀번호를 입력합니다.
- 저장을 클릭합니다. 리소스가 성공적으로 업데이트되면 다음을 보고합니다.
지정된 그룹 검색 경로 및 사용자 검색 경로 아래에 있는 사용자/그룹은 여전히 NWUI에 로그인할 수 있습니다. 그러나 이러한 경로 외부에 있는 사용자에게는 NWUI 액세스가 허용되지 않습니다.
Additional Information
NetWorker Server에서 NetWorker 사용자 그룹에 정의된 외부 사용자/그룹을 확인합니다.
nsradmin show name; external roles print type: nsr usergroup
외부 사용자는 인증을 통해 찾을 수 있습니다. 그러나 NSR 사용자 그룹 외부 역할 필드에 정의된 그룹의 구성원이 아닙니다. 또한 다음 필드에는 사용자가 정의되어 있지 않습니다.
NetWorker Authentication Server에서 사용자가 속한 AD/LDAP 그룹을 확인합니다.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
이 경우 사용자 testuser2 는 NSR 사용자 그룹 외부 역할 필드에 설정된 NetWorker_Admins AD 그룹의 일부가 아니며 사용자 DN도 외부 역할 필드에 정의되어 있지 않습니다.