Article Number: 000196070
NetWorker: Přihlášení konzole NMC se nezdaří pro uživatele AD nebo LDAP s chybou "You do not have privileges to use NetWorker Management Console".
Summary: Při pokusu o přihlášení do konzole NetWorker Management Console (NMC) s uživatelem AD nebo LDAP se zobrazí zpráva "You do not have privileges to use NetWorker Management Console". Konzole je přístupná pomocí nástroje NetWorker Administrator nebo jiného místního účtu NMC. ...
Article Content
Symptoms
- Při pokusu o přihlášení do konzole NMC jako externího uživatele (AD/LDAP) se zobrazí následující chyba:
- Stejný uživatel služby AD se může přihlásit pomocí možnosti příkazového řádku nsrlogin .
- Ověření proběhne v případě výchozího účtu správce NetWorker úspěšně.
- V některých situacích může tato chyba ovlivnit pouze konkrétní uživatele.
nsrlogin
Na serveru NetWorker otevřete příkazový řádek (nebo relaci SSH) a spusťte následující syntaxi příkazu:nsrlogin -t tenant_name -t domain -u username
- tenant_name: Ve většině konfigurací bude tato hodnota výchozí; v opačném případě se bude jednat o název klienta nakonfigurovaný správcem netWorker.
- domain: hodnota domény, kterou obvykle používáte při přihlašování do konzole NMC.
- username: Uživatelské jméno AD/LDAP bez předpony domény
Cause
Resolution
1. Přihlaste se do konzole NetWorker Management Console (NMC) jako výchozí účet netWorker Administrator.
2. Přejděte do části Setup->Users and Roles->NMC Roles.
3. Zkontrolujte role Console Users a Application Administrators. Pole External Roles roles by měla obsahovat rozlišující název 
(plná cesta) skupiny AD, ke které uživatel patří; volitelně lze nastavit cestu jednoho uživatele.
Například:
4. Jakmile přidáte název domény skupiny AD pro uživatele služby AD do jeho příslušných rolí NMC, pokuste se přihlásit ke konzoli NMC pomocí tohoto uživatele.
Additional Information
Pokud problém přetrvává, můžete ověřit členství ve skupině AD/LDAP pomocí následujících možností:
Windows PowerShell:
Ze systému Windows ve stejné doméně spusťte následující příkaz Powershell:
Get-ADPrincipalGroupMembership -Identity USERNAME
Např.:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin
...
...
distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory : Security
GroupScope : Global
name : NetWorker_Admins
objectClass : group
objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName : NetWorker_Admins
SID : S-1-5-21-4085282181-485696706-820049737-1104
V nástroji NetWorker lze použít příkaz rozlišující název,který poskytuje uživateli AD přístup k konzole NMC.
Další informace o tomto příkazu naleznete v části: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps
authc_mgmt NetWorker Příkaz:
Pomocí příkazu authc_mgmt můžete dotazovat na členství uživatele/skupiny AD/LDAP. Na serveru NetWorker otevřete příkazový řádek (nebo relaci SSH) a spusťte následující syntaxi příkazu:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
Například:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
Celý název Dn jedné ze skupin lze použít k udělení přístupu tomuto uživateli AD k NMC.
Konfiguraci a hodnoty potřebné pro příkazy authc_mgmt lze shromažďovat spuštěním:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Article Properties
Affected Product
NetWorker, NetWorker Management Console
Product
NetWorker Family, NetWorker Series
Last Published Date
02 Jun 2023
Version
5
Article Type
Solution