НВУІ: Користувач AD/LDAP, який не визначений у NetWorker, може переглянути панель керування.
Summary: Зовнішня автентифікація (AD/LDAP) була інтегрована з NetWorker. Користувачі або групи AD/LDAP були інтегровані ролі NetWorker; однак зовнішній користувач, якому не було надано жодних дозволів у NetWorker, може увійти до NWUI та переглянути панель керування. ...
Symptoms
AD/LDAP було інтегровано з NetWorker. Інтеграція із зовнішнім авторитетом NetWorker не має вказаного шляху пошуку користувача або шляху групового пошуку (глобальний доступ для читання):
Користувачів AD/LDAP або групи було додано до полів зовнішніх ролей груп Сервер-Користувач>. Користувач AD/LDAP не належить до жодної з груп, визначених у NetWorker, і користувач не визначений у жодній із груп користувачів NSR.
Користувач AD/LDAP може увійти в веб-інтерфейс користувача NetWorker (NWUI) і бачити вкладки «Інформаційна панель» і «Моніторинг»:
Користувач не може переглянути або змінити конфігурацію NetWorker; однак вони можуть отримати доступ до інформації про виконані або запущені завдання на сервері NetWorker:
Cause
Це питання було піднято перед інженерами NetWorker. NetWorker працює так, як задумано. Якщо шлях пошуку користувача або шлях пошуку групи не вказаний, NetWorker authc має глобальний доступ для читання всієї структури AD/LDAP.
Це також може спостерігатися, якщо було встановлено шлях пошуку користувача та/або шлях групового пошуку, але він встановлений на низький рівень у структурі AD/LDAP, що дозволяє пошуку піддерева виявляти користувачів/групи нижче встановленого шляху.
Resolution
Обмежте видимість NetWorker організації AD/LDAP лише користувачами/групами, які повинні мати доступ до NetWorker. Зробити це можна за допомогою полів шлях пошуку користувача і шлях пошуку групи в ресурсі зовнішніх авторитетів NetWorker.
- У середовищі AD/LDAP визначте розрізнене ім'я (DN) батьківського контейнера (CN) або організаційного блоку (OU), яким потрібен доступ NetWorker.
Наприклад, для визначення розташування групи в Microsoft AD можна використовувати таку команду PowerShell:
Get-ADGroup -Identity "GROUP_NAME" | Select-Object -Property Name,ObjectClass,DistinguishedName
PS C:\Users\Administrator> Get-ADGroup -Identity "NetWorker_Admins" | Select-Object -Property Name,ObjectClass,DistinguishedName Name ObjectClass DistinguishedName ---- ----------- ----------------- NetWorker_Admins group CN=NetWorker_Admins,OU=DELL,DC=networker,DC=lan
У цьому прикладі ми можемо бачити, що група належить до організаційної одиниці (OU) OU=DELL,DC=networker,DC=lan. OU/CN групи може використовуватися як шлях групового пошуку.
Таку команду PowerShell можна використовувати для визначення розташування користувачів Microsoft AD у групі AD:
Get-ADGroupMember -Identity "GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Приклад:
PS C:\Users\Administrator> Get-ADGroupMember -Identity "NetWorker_Admins" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName Name SamAccountName ObjectClass DistinguishedName ---- -------------- ----------- ----------------- NetWorker Engineering nwree user CN=NetWorker Engineering,OU=DELL,DC=networker,DC=lan Backup Administrator bkupadmin user CN=Backup Administrator,OU=Support_Services,OU=DELL,DC=networker,DC=lan
ПРИМІТКА. Ви повинні враховувати ресурси піддерева. Наприклад, якщо під обраним шляхом є інші OU/CN, вони також будуть видимі для NetWorker. Це може бути використано для надання дозволів користувачам/групам за певним шляхом; І навпаки, він також відкриває доступ до груп/ресурсів під вказаним шляхом. Щоб отримати допомогу з отриманням відповідних шляхів пошуку користувачів і груп, проконсультуйтеся з адміністратором домену.
- Увійдіть у веб-інтерфейс користувача NetWorker (NWUI) за допомогою облікового запису адміністратора NetWorker за замовчуванням.
- Перейдіть до Сервер аутентифікації ->Зовнішня влада.
- Виберіть ресурс зовнішнього авторитету та натисніть РЕДАГУВАТИ.
- З властивостей зовнішнього ресурсу перейдіть на вкладку ДОДАТКОВА КОНФІГУРАЦІЯ.
- Оновіть поля «Шлях групового пошуку» та «Шлях пошуку користувача», щоб включити шлях OU/CN (за винятком значень DC) до батьківського ресурсу OU/CN, до якого ви хочете, щоб NetWorker мав доступ для читання.
- Перейдіть на вкладку БАЗОВА КОНФІГУРАЦІЯ .
- У полі User DN Password введіть пароль облікового запису User DN Password.
- Натисніть ЗБЕРЕГТИ. Ресурс звітує про успішне оновлення:
Користувачі/групи, які проживають за вказаним шляхом групового пошуку та шляхом пошуку користувачів, все одно зможуть увійти до NWUI; однак користувачам, які проживають за межами цих шляхів, не буде дозволено доступ до NWUI.
Additional Information
На сервері NetWorker перевірте, які зовнішні користувачі/групи визначені в групах користувачів NetWorker:
nsradmin show name; external roles print type: nsr usergroup
Зовнішнього користувача можна знайти за допомогою authc; однак не є членом жодної з груп, визначених у полях зовнішніх ролей групи користувачів NSR; У жодному з цих полів користувач не визначений:
На сервері аутентифікації NetWorker перевірте групи AD/LDAP, до яких належить користувач.
authc_mgmt -u Administrator -p 'NETWORKER_ADMINISTRATOR_PASSWORD' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
У цьому випадку user testuser2 не входить до групи AD NetWorker_Admins, встановленої в полях зовнішніх ролей групи користувачів NSR , а також DN користувача не визначено в полях зовнішніх ролей.