NWUI: AD/LDAP-gebruiker die niet is gedefinieerd in NetWorker kan het dashboard bekijken.
Summary: Externe verificatie (AD/LDAP) is geïntegreerd in NetWorker. AD/LDAP-gebruikers of -groepen zijn geïntegreerde NetWorker-rollen; Een externe gebruiker die geen machtigingen heeft gekregen in NetWorker, kan zich echter aanmelden bij NWUI en het dashboard bekijken. ...
Symptoms
AD/LDAP is geïntegreerd in NetWorker. De integratie van de externe autoriteit van NetWorker heeft geen opgegeven zoekpad voor gebruikers of groepen (globale leestoegang):
AD/LDAP-gebruikers of groepen zijn toegevoegd aan de velden externe rollen van Server-gebruikersgroepen>. Een AD/LDAP-gebruiker behoort niet tot een van de groepen die zijn gedefinieerd in NetWorker en de gebruiker is niet gedefinieerd in een van de NSR-gebruikersgroepen.
De AD/LDAP-gebruiker kan zich aanmelden bij de NetWorker Web User Interface (NWUI) en kan de tabbladen Dashboard en Monitoring zien:
De gebruiker kan de NetWorker-configuratie niet controleren of wijzigen; Ze hebben echter wel toegang tot informatie over voltooide of actieve taken op de NetWorker-server:
Cause
Dit probleem is voorgelegd aan NetWorker Engineering. NetWorker werkt naar behoren. Als er geen gebruikers- of groepszoekpad is opgegeven, heeft NetWorker-verificatie algemene leestoegang tot de gehele AD/LDAP-structuur.
Dit kan ook worden waargenomen als een gebruikerszoekpad en/of een groepszoekpad is ingesteld, maar het is ingesteld op laag binnen de AD/LDAP-structuur, waardoor subboomzoeken gebruikers/groepen onder de ingestelde padenlijst kan oppikken.
Resolution
Beperk de zichtbaarheid van NetWorker van de AD/LDAP-organisatie tot alleen gebruikers/groepen die toegang moeten hebben tot NetWorker. Dit kan worden gedaan met behulp van het zoekpad van de gebruiker en de zoekpadvelden van de groep in de externe instantiebron van NetWorker.
- Identificeer in de AD/LDAP-omgeving de DN (Distinguished Name) van de bovenliggende container (CN) of organisatie-eenheid (OU) waarvoor NetWorker-toegang nodig is.
De volgende PowerShell-opdracht kan bijvoorbeeld worden gebruikt om de locatie van een groep binnen Microsoft AD te identificeren:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
In dit voorbeeld kunnen we zien dat de groep behoort tot de organisatie-eenheid (OU) OU=DELL,DC=networker,DC=lan. De organisatie-eenheid/organisatie-eenheid van de groep kan worden gebruikt als het zoekpad van de groep.
De volgende PowerShell-opdracht kan worden gebruikt om de locatie van Microsoft AD-gebruikers binnen een AD-groep op te halen:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Voorbeeld:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
OPMERKING: U moet rekening houden met subboombronnen. Als er bijvoorbeeld andere OU/CN onder het geselecteerde pad staan, zijn deze ook zichtbaar voor NetWorker. Dit kan worden gebruikt om machtigingen te verlenen aan gebruikers/groepen onder een specifiek pad; Omgekeerd opent het ook toegang tot groepen/bronnen onder een bepaald pad. Neem contact op met uw domeinbeheerder voor hulp bij het verkrijgen van de juiste zoekpaden voor gebruikers en groepen.
- Meld u aan bij de NetWorker Web User Interface (NWUI) met het standaard NetWorker Administrator-account.
- Ga naar Verificatieserver-externe>instantie.
- Selecteer de externe autoriteitsbron en klik op BEWERKEN.
- Ga vanuit de eigenschappen van de externe bron naar het tabblad GEAVANCEERDE CONFIGURATIE.
- Werk de velden Groepszoekpad en Zoekpad gebruiker bij om het OU/CN-pad (exclusief DC-waarden) op te nemen in de bovenliggende OU/CN-resource waarvoor u NetWorker-verificatie leestoegang wilt geven.
- Ga naar het tabblad BASISCONFIGURATIE .
- Voer in het veld User DN Password het wachtwoord van het User DN-account in.
- Klik op OPSLAAN. De bron rapporteert als deze met succes is bijgewerkt:
Gebruikers/groepen die zich onder het opgegeven groepszoekpad en gebruikerszoekpad bevinden, kunnen zich nog steeds aanmelden bij NWUI; Gebruikers die zich buiten deze paden bevinden, krijgen echter geen NWUI-toegang.
Additional Information
Controleer op de NetWorker-server welke externe gebruikers/groepen zijn gedefinieerd in NetWorker-gebruikersgroepen:
nsradmin show name; external roles print type: nsr usergroup
Een externe gebruiker kan worden gevonden door authc; is echter geen lid van een van de groepen die zijn gedefinieerd in de velden externe rollen van de NSR-gebruikersgroep; De gebruiker wordt in geen van deze velden gedefinieerd:
Controleer op de NetWorker-verificatieserver de AD/LDAP-groepen waartoe een gebruiker behoort.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
In dit geval maakt de gebruiker testuser2 geen deel uit van de NetWorker_Admins AD-groep die is ingesteld in de velden externe rollen van de NSR-gebruikersgroep , en is de gebruikers-DN ook niet gedefinieerd in de velden externe rollen.