NetWorker: AD/LDAP-användare kan inte se NMC-användare eller NMC-roller "Unable to get user information from authentication service [Access is Denied]"
Summary: Du kan logga in på NMC med en LDAP AD-användare men kan inte visa NMC-roller eller NMC-användare. Felmeddelandet "Unable to get user information from authentication service [Access is Denied]" visas. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Du kan logga in på NMC med en LDAP AD-användare men kan inte visa NMC-roller eller NMC-användare. Felmeddelandet "Unable to get user information from authentication service [Access is Denied]" visas.
Cause
Problem 1: AD-grupp-DN anges inte i NMC-rollerna "Console Security Administrator" och/eller NetWorker-serveranvändargruppens Problem 2 för säkerhetsadministratörer
: Den externa NetWorker-autentiseringskonfigurationen har ett felaktigt eller saknat attribut för konfiguration av användargrupp.
Problem 3: AD-grupp-DN som inte har beviljats FULL_CONTROL administratörsbehörighet.
: Den externa NetWorker-autentiseringskonfigurationen har ett felaktigt eller saknat attribut för konfiguration av användargrupp.
Problem 3: AD-grupp-DN som inte har beviljats FULL_CONTROL administratörsbehörighet.
Resolution
Problem 1:
1) Logga in på NMC som standardkonto för NetWorker Administrator .
2) Gå till Setup-->Users and Roles-->NMC Roles.
3) Öppna egenskaperna för konsolsäkerhetsadministratörs- och konsolprogramadministratörsrollerna.
4) I fältet External Roles ska unika namn (DN) för AD-grupperna för NetWorker-administratörer anges.
Observera: Om du är osäker på vilken DN som anges läser du fältet Anteckningar för anvisningar som kan slutföras för att samla in den här informationen. AD-gruppens DN ska också läggas till i motsvarande användargrupps fält för externa roller på NetWorker-servern. Anslut till NetWorker-servern från NMC som standardkonto för NetWorker Administrator och gå till Server-->User Groups. Utan detta kan du logga in på NMC som AD-användare men inte ansluta till NetWorker-servern.
Exempel:
I det här fallet är attributet "Config User Group Attribute" tomt. För AD-baserad autentisering ska det här fältet ställas in på memberOf. Om det här fältet är tomt eller har något annat värde gör du följande:
2) Om du vill uppdatera det här värdet med hjälp av kommandot kör du följande:
1) Logga in på NMC som standardkonto för NetWorker Administrator .
2) Gå till Setup-->Users and Roles-->NMC Roles.
3) Öppna egenskaperna för konsolsäkerhetsadministratörs- och konsolprogramadministratörsrollerna.
4) I fältet External Roles ska unika namn (DN) för AD-grupperna för NetWorker-administratörer anges.
Observera: Om du är osäker på vilken DN som anges läser du fältet Anteckningar för anvisningar som kan slutföras för att samla in den här informationen. AD-gruppens DN ska också läggas till i motsvarande användargrupps fält för externa roller på NetWorker-servern. Anslut till NetWorker-servern från NMC som standardkonto för NetWorker Administrator och gå till Server-->User Groups. Utan detta kan du logga in på NMC som AD-användare men inte ansluta till NetWorker-servern.
Exempel:
5) När DN för din NetWorker-administratörs AD-grupp har lagts till i båda rollerna. Logga in på NMC som en AD-användare som tillhör den nyligen tillagda gruppen och kontrollera om du kan se konfigurationerna av NMC-användare och NMC-roller.
Problem 2:
1) Kontrollera din befintliga konfiguration med ditt konfigurations-ID:
Problem 2:
1) Kontrollera din befintliga konfiguration med ditt konfigurations-ID:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Obs! Det konto som anges är NetWorker-administratörskontot/-lösenordet. Ersätt # med det config-ID som samlats in i det första kommandot.
Exempel:
Exempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
I det här fallet är attributet "Config User Group Attribute" tomt. För AD-baserad autentisering ska det här fältet ställas in på memberOf. Om det här fältet är tomt eller har något annat värde gör du följande:
2) Om du vill uppdatera det här värdet med hjälp av kommandot kör du följande:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Obs! I vissa system kan du inte uppdatera enskilda värden. Om du får ett felmeddelande med ovanstående kommando rekommenderar vi att du använder skriptmallarna under:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program\EMC NetWorker\nsr\authc-server\bin
Obs! Ovanstående Windows-sökväg förutsätter att standardsökvägen för NetWorker-installationen användes.
Obs! Ovanstående Windows-sökväg förutsätter att standardsökvägen för NetWorker-installationen användes.
Om skriptet används kan du ändra "-e add-config" till "-e update-config" och fylla i resten av fälten enligt din miljö. Config User Group Attribute ska ställas in på "-D "config-user-group-attr=memberOf" i skriptmallen (som standard). När konfigurationen har uppdaterats bör du se ändringarna med: authc_config -u Administratör -p lösenord -e find-config -D config-id=#
Exempel:
Exempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Logga ut från NMC och logga in igen med ad-användaren
Problem 3:
I vissa fall får du fortfarande felmeddelandet "Åtkomst nekad" även efter att du lagt till AD-gruppen DN i fälten External Roles i Console Security Administrator och Console Application Administrator. FULL_CONTROL behörigheter kan läggas till i NetWorker-administratörernas AD-grupp(ar).
1) Öppna en upphöjd kommandotolk på NetWorker-servern
2) Kontrollera vilka AD-grupper som har FULL_CONTROL behörigheter:
I vissa fall får du fortfarande felmeddelandet "Åtkomst nekad" även efter att du lagt till AD-gruppen DN i fälten External Roles i Console Security Administrator och Console Application Administrator. FULL_CONTROL behörigheter kan läggas till i NetWorker-administratörernas AD-grupp(ar).
1) Öppna en upphöjd kommandotolk på NetWorker-servern
2) Kontrollera vilka AD-grupper som har FULL_CONTROL behörigheter:
authc_config -u Administratör -p lösenord -e find-all-permissions
Obs! Det konto som anges är NetWorker-administratörskontot/-lösenordet.
3)Om DN för NetWorker-administratörsgruppen inte anges kör du följande kommando:
3)Om DN för NetWorker-administratörsgruppen inte anges kör du följande kommando:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Obs! Behörighetsgruppen-dn bör innehålla hela DN för den grupp som du vill lägga till behörigheterna till. Om du är osäker på grupp-DN ser du fältet Anteckningar för att samla in den här informationen.
Exempel:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) När behörigheten har lagts till kan du bekräfta ändringarna genom att köra kommandot find-all-permissions från steg 2.
5) Logga in på NMC med en AD-användare som tillhör den grupp där du precis har lagt till behörigheter för och bekräfta om du kan se inställningarna för NMC-roller eller NMC-användare.
Additional Information
Ovanstående procedurer kräver att du vet det unika namnet (DN) för en AD-grupp som AD-användare tillhör. Detta kan bekräftas av AD-administratören, men kan även samlas in med authc_config- och authc_mgmt-kommandon på NetWorker-servern. För att kunna samla in den här informationen behöver du även känna till klientorganisationen och domänen som konfigurerats för dina externa LDAP AD-autentiseringar:
1) Logga in på NetWorker-servern och öppna en upphöjd kommandotolk.
2) Kontrollera om en klientorganisation har konfigurerats (standard används i de flesta fall):
3) När du har klientorganisationens namn kan du köra följande kommando för att fråga LDAP AD-grupper om en specifik AD-användare:
Exempel:
1) Logga in på NetWorker-servern och öppna en upphöjd kommandotolk.
2) Kontrollera om en klientorganisation har konfigurerats (standard används i de flesta fall):
authc_config -u Administratör -p lösenord -e find-all-tenants
Obs! Det konto som anges är NetWorker-administratörskontot/-lösenordet.
Exempel:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Obs! Ange det klientnamn som hämtades från kommandot i steg 2. Domännamnet måste matcha hur det angavs när du konfigurerar extern LDAP AD-autentisering; inte nödvändigtvis domänen som den skulle visas i en DNS-fråga. Ange domännamnet som du gör när du loggar in på NMC. Ange en AD-användare för användarnamnet.
Exempel:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Från det här utdata ska du nu ha det fullständiga DN-namnet för den AD-grupp som du vill lägga till behörigheter till. Detta kan kopieras och klistras in i fälten External Roles i NMC Roles och NetWorker-serverns användargrupper. Den kan också användas i kommandot FULL_CONTROL permissions.
authc_config och authc_mgmt är mycket användbara kommandon för att testa/konfigurera extern autentisering. Om du vill se alla tillgängliga alternativ kör du kommandona på egen hand utan flaggor/switchar.
authc_config och authc_mgmt är mycket användbara kommandon för att testa/konfigurera extern autentisering. Om du vill se alla tillgängliga alternativ kör du kommandona på egen hand utan flaggor/switchar.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.