NetWorker:AD/LDAPユーザーがNMCユーザーまたはNMCロールを表示できない「Unable to get user information from authentication service [Access is Denied]」
Summary: LDAP ADユーザーを使用してNMCにログインすることはできますが、NMCの役割またはNMCユーザーを表示することはできません。「Unable to get user information from authentication service [Access is Denied]」というエラー メッセージが表示されます。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
LDAP ADユーザーを使用してNMCにログインすることはできますが、NMCロールまたはNMCユーザーを表示することはできません。「Unable to get user information from authentication service [Access is Denied]」というエラー メッセージが表示されます。
Cause
問題1: ADグループDNは、NMCの役割「コンソール セキュリティ管理者」またはNetWorkerサーバー ユーザー グループの「セキュリティ管理者」
で指定されていません。問題2: NetWorker外部認証の構成に、「Config User Group Attribute」が正しくないか欠落しています。
問題3: 管理者権限が付与されていないADグループDN FULL_CONTROL。
で指定されていません。問題2: NetWorker外部認証の構成に、「Config User Group Attribute」が正しくないか欠落しています。
問題3: 管理者権限が付与されていないADグループDN FULL_CONTROL。
Resolution
問題1:
1)NMCにデフォルトの NetWorker管理者 アカウントとしてログインします。
2) Setup--Users and Roles->->NMC Roles に移動します。
3) Console Security Administrator および Console Application Administrator ロールのプロパティを開きます。
4)[外部の役割]フィールドで、NetWorker管理者のADグループのDN( 識別名)を指定する必要があります。
メモ:指定されているDNが不明な場合は、[Notes]フィールドを参照して、この情報を収集するために実行できる手順を確認してください。ADグループのDNは、対応するNetWorkerサーバーの [User Group's External Roles]フィールドにも追加する必要があります。NMCからデフォルトのNetWorker管理者アカウントとしてNetWorkerサーバーに接続し、 Server-->User Groups に移動します。これがなければ、ADユーザーとしてNMCにログインできますが、NetWorkerサーバーに接続することはできません。
例:
この例では、「Config User Group Attribute」は空白です。ADベースの認証の場合、このフィールドは memberOf に設定する必要があります。このフィールドが空白の場合、またはその他の値がある場合は、次の情報を入力します。
2)コマンドを使用してこの値を更新するには、次のコマンドを実行します。
1)NMCにデフォルトの NetWorker管理者 アカウントとしてログインします。
2) Setup--Users and Roles->->NMC Roles に移動します。
3) Console Security Administrator および Console Application Administrator ロールのプロパティを開きます。
4)[外部の役割]フィールドで、NetWorker管理者のADグループのDN( 識別名)を指定する必要があります。
メモ:指定されているDNが不明な場合は、[Notes]フィールドを参照して、この情報を収集するために実行できる手順を確認してください。ADグループのDNは、対応するNetWorkerサーバーの [User Group's External Roles]フィールドにも追加する必要があります。NMCからデフォルトのNetWorker管理者アカウントとしてNetWorkerサーバーに接続し、 Server-->User Groups に移動します。これがなければ、ADユーザーとしてNMCにログインできますが、NetWorkerサーバーに接続することはできません。
例:
5)NetWorker管理者のADグループのDNが両方のロールに追加されたら、新しく追加されたグループに属するADユーザーとしてNMCにログインし、NMCユーザーとNMCの役割の構成を表示できるかどうかを確認します。
問題2:
1)構成IDを使用して、既存の構成を確認します。
問題2:
1)構成IDを使用して、既存の構成を確認します。
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
注:指定されているアカウントは、NetWorker管理者アカウント/パスワードです。# を、最初のコマンドで収集されたconfig IDに置き換えます。
例:
例:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
この例では、「Config User Group Attribute」は空白です。ADベースの認証の場合、このフィールドは memberOf に設定する必要があります。このフィールドが空白の場合、またはその他の値がある場合は、次の情報を入力します。
2)コマンドを使用してこの値を更新するには、次のコマンドを実行します。
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
注:一部のシステムでは、個々の値を更新できません。上記のコマンドでエラーが発生した場合は、次のスクリプト テンプレートを使用することをお勧めします。
Linuxの場合/opt/nsr/authc-server/bin
Windowsの場合:C:\Program Files\EMC NetWorker\nsr\authc-server\bin
注:上記のWindowsパスは、デフォルトのNetWorkerインストール パスが使用されていることを前提としています。
注:上記のWindowsパスは、デフォルトのNetWorkerインストール パスが使用されていることを前提としています。
スクリプトを使用している場合は、「-e add-config」を「-e update-config」に変更し、ご使用の環境に応じて残りのフィールドに入力することができます。Config User Group Attribute は、スクリプト テンプレートで「-D "config-user-group-attr=memberOf"」に設定する必要があります(デフォルト)。構成が更新されると、次の変更が表示されます。authc_config -u Administrator -p password -e find-config -D config-id=#
例:
例:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3)NMCからログアウトし、ADユーザーと一緒に再度ログインします。
問題3:
コンソール セキュリティ管理者およびコンソール アプリケーション管理者の[外部ロール]フィールドにADグループDNを追加しても、「アクセス拒否」エラーが表示される場合があります。FULL_CONTROL権限をNetWorker管理者のADグループ
に追加できます。1)NetWorkerサーバー
で管理者特権のコマンド プロンプトを開きます 2)FULL_CONTROL権限が設定されているADグループを確認します。
コンソール セキュリティ管理者およびコンソール アプリケーション管理者の[外部ロール]フィールドにADグループDNを追加しても、「アクセス拒否」エラーが表示される場合があります。FULL_CONTROL権限をNetWorker管理者のADグループ
に追加できます。1)NetWorkerサーバー
で管理者特権のコマンド プロンプトを開きます 2)FULL_CONTROL権限が設定されているADグループを確認します。
authc_config -u Administrator -p password -e find-all-permissions
注:指定されているアカウントは、NetWorker管理者アカウント/パスワードです。
3)NetWorker管理者グループのDNが指定されていない場合は、次のコマンドを実行します。
3)NetWorker管理者グループのDNが指定されていない場合は、次のコマンドを実行します。
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
注:permission-group-dnには、権限を追加するグループの完全なDNが含まれている必要があります。グループDNが不明な場合は、この情報を収集するための[Notes]フィールドを参照してください。
Example:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4)権限が追加されたら、ステップ2からfind-all-permissionsコマンドを実行して変更を確認できます。
5)アクセス許可を追加したグループに属するADユーザーを使用してNMCにログインし、NMCの役割またはNMCユーザーの設定を表示できるかどうかを確認します。
Additional Information
上記の手順では、ADユーザーが属するADグループのDN(識別名)を把握する必要があります。これはAD管理者によって確認できますが、NetWorkerサーバーでauthc_configおよびauthc_mgmtコマンドを使用して収集することもできます。この情報を収集するには、LDAP AD外部認証用に構成されたテナントとドメインも知っている必要があります。
1)NetWorkerサーバーにログインし、管理者特権でコマンド プロンプトを開きます。
2)テナントが構成されているかどうかを確認します(ほとんどの場合、デフォルトが使用されます)。
3)テナント名を取得したら、次のコマンドを実行して、特定のADユーザーのLDAP ADグループにクエリーを実行できます。
例:
1)NetWorkerサーバーにログインし、管理者特権でコマンド プロンプトを開きます。
2)テナントが構成されているかどうかを確認します(ほとんどの場合、デフォルトが使用されます)。
authc_config -u Administrator -p password -e find-all-tenants
注:指定されているアカウントは、NetWorker管理者アカウント/パスワードです。
Example:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
注:ステップ2の コマンドから収集したテナント名を指定します。ドメイン名は、LDAP AD外部認証の構成時に指定された方法と一致する必要があります。DNSクエリーに表示されるドメインとは限りません。NMCにログインする場合と同様に、ドメイン名を指定します。ユーザー名にADユーザーを指定します。
例:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
この出力から、権限を追加するADグループの完全なDN名が表示されます。これは、NMCロールとNetWorkerサーバーのユーザー グループの[外部ロール]フィールドにコピーして貼り付けることができます。FULL_CONTROL permissionsコマンドでも使用できます。
authc_config と authc_mgmt は、外部認証のテスト/設定に非常に便利なコマンドです。使用可能なすべてのオプションを確認するには、フラグ/スイッチなしで独自にコマンドを実行します。
authc_config と authc_mgmt は、外部認証のテスト/設定に非常に便利なコマンドです。使用可能なすべてのオプションを確認するには、フラグ/スイッチなしで独自にコマンドを実行します。
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.