NMC: AD-/LDAP-kirjautuminen epäonnistuu "Sinulla ei ole NetWorker Management Consolen käyttöoikeuksia"

Summary: Ulkoinen todennus (AD tai LDAP) on integroitu NetWorkeriin. Kirjautuminen NetWorker Management Consoleen (NMC) ulkoisena tilinä palauttaa virheen You do not right to use NetWorker Management Console. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Ulkoinen todennus (Microsoft Active Directory (AD) tai LDAP (OpenLDAP) on lisätty NetWorker-palvelimen todennuspalvelinpalveluun.
  • Kun yrität kirjautua NetWorker Management Consoleen (NMC) AD- tai LDAP-tilillä, näkyviin tulee virheruutu "Sinulla ei ole oikeuksia käyttää NetWorker Management Consolea"
Kirjautuminen NMC:hen toimialueen käyttäjänä epäonnistuu ongelmalla Sinulla ei ole NetWorker Management Consolen käyttöoikeuksia

Cause

NetWorkerin AUTHC-palvelu tunnistaa käyttäjän AD/LDAP:ssa, mutta hänellä ei ole oikeuksia käyttää NMC:tä. Ulkoisille tileille annetaan yleensä NMC-käyttöoikeudet NMC-roolien avulla. Nämä roolit löytyvät, kun NMC:hen kirjaudutaan NetWorker Administrator -oletustilinä. Valitse Setup-Users>ja Groups-NMC>Roles. Oletusrooleja on kolme:
NetWorker Management Consolen (NMC) roolit
  • Konsolisovelluksen järjestelmänvalvojat: Antaa käyttäjälle/ryhmälle oikeuden kirjautua NMC:hen ja suorittaa NMC-raportteja. Käyttäjät tai ryhmät, joilla on sovellusten järjestelmänvalvojien oikeudet, voivat muuttaa NMC Enterprise -kokoonpanoa.
  • Konsolin suojauksen järjestelmänvalvojat: Antaa käyttäjälle/ryhmälle oikeuden muuttaa käyttäjäasetuksia ja ryhmiä NMC Enterprise -kokoonpanossa.
  • Konsolin käyttäjät: Antaa käyttäjälle/ryhmälle oikeuden kirjautua NMC:hen ja suorittaa NMC-raportteja. Käyttäjä ei kuitenkaan voi muuttaa NMC Enterprise -asetuksia tai käyttää suojaustietoja. 

Tässä tietämyskannan artikkelissa esiintyvä ongelma ilmenee, kun:

  • AD-/LDAP-käyttäjää tai DN (Distincted-Name) -ryhmää ei ole määritetty konsolisovellusten järjestelmänvalvojien tai konsolin käyttäjienryhmien ulkoisten roolien kentässä.
  • AD-/LDAP-käyttäjä ei kuulu AD-/LDAP-ryhmään, joka on määritetty joko Konsolisovelluksen järjestelmänvalvojat- tai Konsolin käyttäjät-ryhmän ulkoisten roolien kentässä.
Ulkoiset roolit -kenttä ei sisällä ulkoisia käyttäjiä tai ryhmiä

Resolution

1. Määritä, mikä isäntä on NetWorker Authentication (AUTHC) -palvelin.

HUOMAUTUS: Ympäristöissä, joissa on yksi NetWorker-palvelin, NetWorker-palvelin on tavallisesti AUTHC-palvelin. Harvoissa tapauksissa AUTHC-palvelua voidaan käyttää erillisellä konsolipalvelimella. Ympäristöissä, joissa useita NetWorker-palvelimia hallitaan yhdestä konsolista, vain yksi NetWorker-palvelin on AUTHC-palvelin.
  1. Avaa NetWorker Management Console (NMC) -palvelimessa gstd.conf tiedosto.

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (oletus): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

  1. Gstd.conf-tiedosto sisältää authsvc_hostname merkkijonon, joka määrittää isäntänimen ja portin, jota käytetään kirjautumispyyntöjen käsittelyyn NMC:ssä:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Avaa järjestelmänvalvojan oikeuksin suoritettava kehote AUTHC-palvelimessa ja määritä, mihin AD-ryhmään käyttäjä kuuluu:


Seuraavia menetelmiä voidaan käyttää:

NetWorker-menetelmä:
Tämä menetelmä määrittää, mihin AD-ryhmiin käyttäjä kuuluu. Se vahvistaa myös, näkeekö NetWorker käyttäjän tai ryhmän. Jos hakupolut on määritetty NetWorkerin ulkoisella valtuutuksella, AUTHC ei välttämättä löydä käyttäjiä/ryhmiä määritettyjen ehtojen ulkopuolelta.
Käytä seuraavaa: authc_mgmt komento, jolla kysytään, mihin AD-ryhmiin käyttäjä kuuluu: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Saat vuokralaisen nimen seuraavasti:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Voit saada verkkotunnuksen seuraavasti:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Esimerkki:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Käytä täyttä Dn-nimeä käyttöoikeuksien määrittämiseen vaiheessa 2.
 
Active Directory -menetelmä:
Tämä menetelmä näyttää käyttäjän AD-ryhmän, mutta ei vahvista näkyvyyttä AUTHC:lle, jos NetWorkerin ulkoisen käyttöoikeuden hakusuodattimet rajoittavat pääsyä.
 
Avaa Admin PowerShell -kehote toimialuepalvelimessa ja suorita seuraava komento: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Esimerkki: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Määritä käyttöoikeudet vaiheessa 2 distinctedName-komennolla .

3. Kirjaudu NMC:hen NetWorker Administrator -oletustilinä.
a. Siirry kohtaan Setup-Users> ja Roles-NMC> Roles.
b. Avaa NMC-käyttäjät-rooli ja määritä AD-ryhmien yksilöllinen nimi Ulkoiset roolit -kentässä:

NMC-roolien ulkoisten roolien kenttä

HUOMAUTUS: Tämä lupa riittää NMC:n käyttöön; Käyttäjä ei kuitenkaan voi suorittaa mitään hallintatehtäviä NMC Enterprise -näytössä. Määritä AD-ryhmän DN ulkoisten roolien kohdassa sekä konsolisovelluksen että konsolin suojauksen järjestelmänvalvojan rooleille, jotta NetWorker-järjestelmänvalvojan oikeudet vastaavat toisiaan. Sovelluksen järjestelmänvalvojat- ja Suojauksen järjestelmänvalvojat -ryhmissä on oletusarvoinen ulkoinen rooli "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Älä poista näitä.

4. Ennen kuin katkaiset yhteyden NMC:hen, varmista myös, onko AD-ryhmä määritetty NetWorker-palvelimen käyttäjäryhmään. Jos käyttäjällä ei ole NetWorker-palvelimen käyttöoikeuksia, hän voi kirjautua NMC:hen, mutta hän ei näe töitä tai resursseja palvelinyhteyden muodostamisen jälkeen.

a. Kun olet edelleen kirjautuneena NMC:hen oletusarvoisena NetWorker-järjestelmänvalvojana, muodosta yhteys NetWorker-palvelimeen.
b. Siirry kohtaan Palvelin-käyttäjät> ja ryhmät.
c. Avaa käyttäjäryhmä, jonka käyttöoikeudet haluat ottaa käyttöön AD-ryhmässä.
d. Kirjoita Ulkoiset roolit -kenttään AD-ryhmän yksilöllinen nimi:

NetWorker-palvelimen käyttäjäryhmien ulkoisten roolien kenttä

5. Yritä kirjautua NMC:hen AD-/LDAP-käyttäjätilillä:

Esimerkki kirjautumisesta NMC:hen verkkotunnuksen käyttäjänä amer.lan\bkupadmin
 
(Valinnainen) Jos haluat, että AD-/LDAP-ryhmä voi hallita ulkoisia auktoriteetteja, sinun on tehtävä seuraavat toimet NetWorker-palvelimessa, jotta AD-käyttäjälle tai -ryhmälle voidaan myöntää FULL_CONTROL käyttöoikeudet.
a. Avaa komentokehote järjestelmänvalvojana/pääkäyttäjänä.
b. Myönnettävän AD-ryhmän DN:n käyttäminen FULL_CONTROL Lupa suorittaa: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Esimerkki: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

Additional Information

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000031431
Article Type: Solution
Last Modified: 27 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.