Article Number: 000196070
NetWorker: NMC-inloggning misslyckas för AD- eller LDAP-användare med meddelandet "Du har inte behörighet att använda NetWorker Management Console".
Summary: När du försöker logga in på NetWorker Management Console (NMC) med en AD- eller LDAP-användare visas meddelandet "Du har inte behörighet att använda NetWorker Management Console". Konsolen kan användas med NetWorker Administrator eller annat lokalt NMC-konto. ...
Article Content
Symptoms
- Följande fel visas vid försök att logga in på NMC som en extern användare (AD/LDAP):
- Samma AD-användare kan logga in med hjälp av kommandoradsalternativet nsrlogin .
- Autentiseringen lyckas för NetWorker-standardadministratörskontot.
- I vissa situationer kan det här felet endast påverka specifika användare.
nsrlogin
Öppna en kommandotolk (eller SSH-session) på NetWorker-servern och kör följande kommandosyntax:nsrlogin -t tenant_name -t domain -u username
- tenant_name: I de flesta konfigurationer är det här värdet standard. I annat fall är det klientorganisationens namn som konfigurerats av NetWorker Administrator.
- domän: det domänvärde som du normalt använder när du loggar in på NMC.
- Användarnamn: AD/LDAP-användarnamn utan domänprefix
Cause
Resolution
1. Logga in på NetWorker Management Console (NMC) som standardkonto för NetWorker Administrator.
2. Gå till Setup->Users and Roles->NMC Roles.
3. Granska roller för konsolanvändare och programadministratörer . Fälten för externa roller bör innehålla det unika namnet 
(fullständig sökväg) för en AD-grupp som användaren tillhör. Du kan ange sökvägen till en enda användare.
Till exempel:
4. När AD-gruppen DN för AD-användaren har lagts till i lämpliga NMC-roller för den användaren testar du att logga in på NMC med den AD-användaren.
Additional Information
Om problemet kvarstår kan du kontrollera medlemskapet i AD/LDAP-gruppen med följande alternativ:
Windows Powershell:
Kör följande PowerShell-kommando från ett Windows-system på samma domän:
Get-ADPrincipalGroupMembership -Identity USERNAME
E.g:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin
...
...
distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory : Security
GroupScope : Global
name : NetWorker_Admins
objectClass : group
objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName : NetWorker_Admins
SID : S-1-5-21-4085282181-485696706-820049737-1104
Det unika namn som matas ut av kommandot kan användas i NetWorker för att ge AD-användaren åtkomst till NMC.
Mer information om det här kommandot finns i: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps
NetWorker-authc_mgmt Kommandot:
Du kan använda kommandot authc_mgmt för att fråga efter AD/LDAP-användare/gruppmedlemskap. Öppna en kommandotolk (eller SSH-session) på NetWorker-servern och kör följande kommandosyntax:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
Till exempel:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
Det fullständiga Dn-namnet för en av grupperna kan användas för att bevilja denna AD-användaråtkomst till NMC.
Den konfiguration och de värden som behövs för authc_mgmt kommandon kan samlas in genom att köra:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Article Properties
Affected Product
NetWorker, NetWorker Management Console
Product
NetWorker Family, NetWorker Series
Last Published Date
02 Jun 2023
Version
5
Article Type
Solution