NetWorker. Не удается войти в NMC для пользователя AD или LDAP с сообщением «You do not have privileges to use NetWorker Management Console».

• При попытке входа в NMC в качестве внешнего пользователя (AD/LDAP) появляется следующее сообщение об ошибке:

• Этот же пользователь AD может войти в систему с помощью параметра командной строки nsrlogin .
• Аутентификация успешно выполняется для учетной записи администратора NetWorker по умолчанию.
• В некоторых случаях эта ошибка может влиять только на определенных пользователей.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• имя_клиента: В большинстве конфигураций это значение будет использоваться по умолчанию. В противном случае это будет имя клиента, настроенное администратором NetWorker.
• domain: значение домена, которое обычно используется при входе в NMC.
• username: Имя пользователя AD/LDAP без префикса домена

1. Войдите в netWorker Management Console (NMC) в качестве учетной записи администратора NetWorker по умолчанию.
2. Перейдите в раздел Setup->Users and Roles->NMC Roles.
3. Рассмотрите роли Console Users и Application Administrators. Поля ролей внешних ролей должны содержать различающееся имя (полный путь) группы AD, к которым принадлежит пользователь; при необходимости можно задать путь одного пользователя.  
Пример.

4. После добавления DN группы AD для пользователя AD к соответствующим ролям NMC для этого пользователя протестируйте вход в NMC от имени этого пользователя AD.
 

Если проблема не устранена, можно проверить членство в группе AD/LDAP со следующими вариантами:
 

Windows PowerShell.

В системе с Windows в том же домене выполните следующую команду PowerShell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Например,

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Различающееся имя, выдаемое командой, можно использовать в NetWorker для предоставления пользователю AD доступа к NMC.

Дополнительные сведения об этой команде см. в https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker authc_mgmt Команды:

Можно использовать команду authc_mgmt для запроса участия пользователя/группы в AD/LDAP. На сервере NetWorker откройте командную строку (или сеанс SSH) и выполните следующий синтаксис команды:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Полное имя Dn одной из групп можно использовать для предоставления этому пользователю AD доступа к NMC.
Конфигурации и значения, необходимые для команд authc_mgmt, можно собрать, выполнив следующие действия:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants