NWUI: AD/LDAP-användare som inte är definierade i NetWorker kan granska instrumentpanelen.

Summary: Extern autentisering (AD/LDAP) har integrerats med NetWorker. AD-/LDAP-användare eller -grupper har integrerats i NetWorker-roller; En extern användare som inte har fått några behörigheter i NetWorker kan dock logga in på NWUI och granska instrumentpanelen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

AD/LDAP har integrerats med NetWorker. NetWorker-integreringen av extern utfärdare har ingen användarsökväg eller gruppsökväg angiven (global läsåtkomst):

Sökvägar för användare och grupper har inte angetts i resursen NetWorker för extern utfärdare

AD/LDAP-användare eller grupper har lagts till i fälten för externa roller i Serveranvändargrupper>. En AD/LDAP-användare tillhör inte någon av de grupper som definieras i NetWorker, och användaren är inte definierad i någon av NSR-användargrupperna.

Obs! I avsnittet Ytterligare information finns anvisningar om hur du verifierar de NetWorker-behörigheter som definierats i en miljö och hur du ser vilka AD/LDAP-användare som tillhör vilka AD/LDAP-grupper.

AD/LDAP-användaren kan logga in på NetWorker-webbanvändargränssnittet (NWUI) och kan se flikarna Instrumentpanel och Övervakning:

AD-användare inloggad på NWUI

Användaren kan inte granska eller ändra NetWorker-konfigurationen. De kan dock komma åt information om slutförda eller pågående jobb på NetWorker-servern:

NWUI som kör sessioner som visas av en oprivilegierad extern användare

Cause

Problemet har tagits upp med NetWorker-tekniker. NetWorker fungerar som förväntat. Om ingen sökväg för användare eller gruppsökväg anges har NetWorker-autentisering global läsåtkomst till hela AD/LDAP-strukturen. 
Detta kan också observeras om en användarsökväg och/eller gruppsökväg har angetts, men den är inställd på låg i AD/LDAP-strukturen, vilket gör att underträdssökning kan hämta användare/grupper under den inställda sökvägen.

Resolution

Begränsa NetWorks synlighet för AD/LDAP-organisationen till endast användare/grupper som ska ha åtkomst till NetWorker. Detta kan göras med hjälp av fälten användarsökväg och sökväg för grupp i NetWorker-resursen för extern utfärdare.

  1. I AD/LDAP-miljön identifierar du det unika namnet (DN) för den överordnade behållaren (CN) eller organisationsenheten (OU) som kräver NetWorker-åtkomst.

Följande PowerShell-kommando kan till exempel användas för att identifiera platsen för en grupp i Microsoft AD:

Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
Exempel: 
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName

Name             ObjectClass DistinguishedName
----             ----------- -----------------
NetWorker_Admins group       CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan

I det här exemplet kan vi se att gruppen hör hemma under organisationsenheten (OU) OU=DELL,DC=networker,DC=lan. Gruppens organisationsenhet/CN kan användas som sökväg för gruppen.


Följande PowerShell-kommando kan användas för att hämta platsen för Microsoft AD-användare i en AD-grupp: 
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Exempel:

PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

Name                         SamAccountName ObjectClass DistinguishedName
----                         -------------- ----------- -----------------
NetWorker Engineering        nwree          user        CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan
Backup Administrator         bkupadmin      user        CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
I det här exemplet kan vi se att användare i gruppen kan finnas på mer än en plats. Men i det här fallet tillhör båda användarna organisationsenheten OU=DELL,DC=networker,DC=LAN. Användarens OU/CN kan användas som användarens sökväg.

Obs! Du måste överväga underträdsresurser. Om det till exempel finns andra organisationsenheter/CN under den valda sökvägen visas även de för NetWorker. Detta kan användas för att bevilja behörigheter till användare/grupper under en specifik sökväg. Omvänt öppnas även åtkomsten till grupper/resurser under en angiven sökväg. Om du behöver hjälp med att hitta rätt sökvägar för användare och grupper kontaktar du domänadministratören.
  1. Logga in på NetWorker-webbanvändargränssnittet (NWUI) med NetWorker-standardadministratörskontot.
  2. Gå till Autentiseringsserver-extern>utfärdare.
  3. Markera resursen för extern utfärdare och klicka på REDIGERA.
  4. Från egenskaperna för den externa resursen går du till fliken AVANCERAD KONFIGURATION.
  5. Uppdatera fälten Sökväg för grupp och Sökväg för användare så att de inkluderar OU/CN-sökvägen (exklusive DC-värden) till den överordnade OU/CN-resurs som du vill att NetWorker-authc ska ha läsbehörighet till.
Uppdatera fälten för gruppsökväg och användarsökväg så att de innehåller AD-resurserna
Obs! Alla grupper/användare under de angivna sökvägarna kan komma åt NWUI. Alla användare/grupper utanför den angivna sökvägen har inte åtkomst, även om användargruppsbehörigheter har beviljats.
  1. Gå till fliken GRUNDLÄGGANDE KONFIGURATION .
  2. I fältet Användar-DN-lösenord anger du lösenordet för användar-DN-kontot.
  3. Klicka på SPARA. Resursen rapporterar om den har uppdaterats:
Resursen för extern utfärdare har uppdaterats

Användare/grupper som finns under den angivna sökvägen för gruppen och användarens sökväg kommer fortfarande att kunna logga in på NWUI. Användare som bor utanför dessa sökvägar kommer dock inte att tillåtas NWUI-åtkomst.

Obehörig användare är inte tillåten

Additional Information

Kontrollera vilka externa användare/grupper som har definierats i NetWorker-användargrupper på NetWorker-servern:

nsradmin
show name; external roles
print type: nsr usergroup

NSRADMIN NSR Användargrupp Externa roller

En extern användare kan hittas med authc. men inte är medlem i någon av de grupper som definieras i fälten för externa roller för NSR-användargrupper, Inte heller är användaren definierad i något av följande fält:

På NetWorker-autentiseringsservern verifierar du de AD/LDAP-grupper som en användare tillhör.

authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

authc_mgmt kommandot för att visa användarnas gruppmedlemskap på den externa autentiseringsservern

I det här fallet är användaren testuser2 inte en del av den NetWorker_Admins AD-grupp som anges i fälten för externa roller i NSR-användargrupper , och inte heller definieras användarens DN i fälten för externa roller.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000252854
Article Type: Solution
Last Modified: 13 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.