NWUI: O usuário do AD/LDAP que não está definido no NetWorker pode analisar o painel de indicadores.
Summary: A autenticação externa (AD/LDAP) foi integrada ao NetWorker. Usuários ou grupos do AD/LDAP foram funções integradas do NetWorker; no entanto, um usuário externo que não tenha recebido nenhuma permissão no NetWorker pode fazer log-in no NWUI e analisar o painel de indicadores. ...
Symptoms
O AD/LDAP foi integrado ao NetWorker. A integração de autoridade externa do NetWorker não tem um caminho de pesquisa de usuário ou um caminho de pesquisa de grupo especificado (acesso de leitura global):
Usuários ou grupos do AD/LDAP foram adicionados aos campos de funções externas de Server-User>Groups. Um usuário do AD/LDAP não pertence a nenhum dos grupos definidos no NetWorker, e o usuário não está definido em nenhum dos grupos de usuários do NSR.
O usuário do AD/LDAP pode fazer log-in no NetWorker Web User Interface (NWUI) e ver as guias Dashboard e Monitoring:
O usuário não pode analisar ou alterar a configuração do NetWorker; no entanto, eles podem acessar informações sobre trabalhos concluídos ou em execução no servidor do NetWorker:
Cause
Esse problema foi levado à engenharia do NetWorker. O NetWorker está funcionando conforme projetado. Se nenhum caminho de pesquisa de usuário ou de grupo for especificado, o NetWorker authc terá acesso global de leitura a toda a estrutura do AD/LDAP.
Isso também pode ser observado se um caminho de pesquisa de usuário e/ou um caminho de pesquisa de grupo tiver sido definido, mas estiver definido como baixo dentro da estrutura do AD/LDAP, permitindo que a pesquisa em subárvore colete usuários/grupos abaixo do conjunto de caminhos.
Resolution
Restrinja a visibilidade do NetWorker da organização do AD/LDAP apenas aos usuários/grupos que devem ter acesso ao NetWorker. Isso pode ser feito usando os campos user search path e group search path no recurso de autoridade externa do NetWorker.
- No ambiente AD/LDAP, identifique o nome distinto (DN) do contêiner pai (CN) ou da unidade organizacional (OU) que requer acesso ao NetWorker.
Por exemplo, o seguinte comando do PowerShell pode ser usado para identificar o local de um grupo no Microsoft AD:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
Neste exemplo, podemos ver que o grupo pertence à Unidade organizacional (OU) OU=DELL,DC=networker,DC=lan. A OU/CN do grupo pode ser usada como o caminho de pesquisa do grupo.
O seguinte comando do PowerShell pode ser usado para obter a localização dos usuários do Microsoft AD em um grupo do AD:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Exemplo:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
Nota: Você deve considerar os recursos de subárvore. Por exemplo, se houver outros OU/CN no caminho selecionado, eles também ficarão visíveis para o NetWorker. Isso pode ser usado para conceder permissões a usuários/grupos em um caminho específico; Por outro lado, ele também abre acesso a grupos/recursos abaixo de um caminho especificado. Para obter ajuda para obter os caminhos de pesquisa de usuário e grupo apropriados, consulte o administrador do domínio.
- Faça log-in na interface do usuário da Web do NetWorker (NWUI) usando a conta padrão de administrador do NetWorker.
- Vá para Authentication Server-External>Authority.
- Selecione o recurso de autoridade externa e clique em EDIT.
- Nas propriedades do recurso externo, vá para a guia ADVANCED CONFIGURATION.
- Atualize os campos Group Search Path e User Search Path para incluir o caminho OU/CN (excluindo os valores de DC) para o recurso OU/CN pai ao qual você deseja que o NetWorker authc tenha acesso de leitura.
- Acesse a guia BASIC CONFIGURATION .
- No campo User DN Password, digite a senha da conta do User DN.
- Clique em SAVE. O relatório do recurso se ele foi atualizado com êxito:
Os usuários/grupos que residem no caminho de pesquisa de grupo e no caminho de pesquisa de usuário especificado ainda poderão fazer login no NWUI; no entanto, os usuários que residem fora desses caminhos não terão permissão de acesso ao NWUI.
Additional Information
No servidor do NetWorker, verifique quais usuários/grupos externos estão definidos nos grupos de usuários do NetWorker:
nsradmin show name; external roles print type: nsr usergroup
Um usuário externo pode ser encontrado pelo authc; no entanto, não é membro de nenhum dos grupos definidos nos campos de funções externas do grupo de usuários do NSR; O usuário também não é definido em nenhum destes campos:
No servidor de autenticação do NetWorker, verifique os grupos do AD/LDAP aos quais um usuário pertence.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
Nesse caso, o usuário testuser2 não faz parte do grupo do NetWorker_Admins AD definido nos campos de funções externas do grupo de usuários do NSR , nem o DN do usuário é definido nos campos de funções externas.