NetWorker: AD über SSL-Nutzeranmeldungen funktionieren nach dem Hinzufügen/Aktualisieren der externen Authentifizierung in NetWorker 19.11 nicht
Summary: NetWorker wurde mithilfe der Option "AD over SSL" mit einer externen Autorität integriert. Die externe Authentifizierung wurde entweder in 19.11 neu hinzugefügt oder in einer früheren Integration erstellt, aber in 19.11.x aktualisiert. AD-Nutzeranmeldungen schlagen mit "invalid username or password" fehl, obwohl die Zugangsdaten korrekt sind. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- AD über SSL-Authentifizierung schlägt in NetWorker mit "invalid username or password" fehl
- Die Verwendung authc_mgmt Befehle zum Überprüfen der Nutzer-/Gruppenmitgliedschaft von AD-Nutzern meldet, dass der Nutzer/die Gruppe nicht gefunden werden kann.
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-ldap-users-for-group -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D group-name=AD_GROUP_NAME
Oder:
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USER_NAME
Bericht:
404: Server message: A group/user with the name GROUP/USER_NAME does not exist in authority EXTERNAL_AUTHORITY_RESOURCE_NAME
Beispiel:
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users-for-group -D query-tenant=default -D query-domain=networker.lan -D group-name=NetWorker_Admins
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
at com.emc.brs.auth.client.template.impl.DefaultBRResponseErrorHandler.handleError(DefaultBRResponseErrorHandler.java:65) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.ResponseErrorHandler.handleError(ResponseErrorHandler.java:63) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.handleResponse(RestTemplate.java:825) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:783) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:717) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.exchange(RestTemplate.java:637) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.client.service.impl.DefaultBRAdminUserService.getLdapUserListForGroup(DefaultBRAdminUserService.java:239) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.queryUsersForGroup(LdapUserGroupCommand.java:134) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.execute(LdapUserGroupCommand.java:77) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmtCmdExecutor.execute(AuthMgmtCmdExecutor.java:142) [auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmt.executeCommand(AuthMgmt.java:170) [auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmt.main(AuthMgmt.java:79) [auth-cli-with-dependencies.jar:?]
ERROR [main] (DefaultLogger.java:190) - Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
HINWEIS: Die Benutzer/Gruppen, die authc meldet, sind in Active Directory nicht vorhanden. Befehle zur direkten Überprüfung über den Domänenserver finden Sie im Feld "Zusätzliche Informationen".
- AD über SSL wurde in 19.11.x wie folgt integriert: NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI)
Cause
Dieses Problem wurde gegenüber dem NetWorker-Engineering gemeldet.
Die Standardparameter, die auf der Registerkarte Erweiterte Konfiguration verwendet werden, werden in der Regel nicht von Active Directory verwendet:
Diese Werte werden in der Regel für LDAP-Server (z. B. OpenLDAP) verwendet. Die Standardwerte, die üblicherweise für Microsoft Active Directory verwendet werden, sind:
Resolution
Dieses Problem wird in den folgenden NetWorker-Versionen behoben:
- 19.10.0.7 (Januar 2025)
- 19.11.0.4 (Februar 2025)
Problemumgehung:
Bearbeiten Sie die externe Autoritätsressource über die NetWorker-Webnutzeroberfläche (NWUI), um die Standardparameter auf der Registerkarte Advanced Configuration zu verwenden:
- Gruppenobjektklasse: group
- Gruppenmitglied-Attribut: Mitglied
- Nutzerobjektklasse: Person oder Nutzer
- Nutzer-ID-Attribut: sAMAccountName
Speichern Sie die Änderungen und überprüfen Sie, ob die AD-über-SSL-Authentifizierung mit NetWorker-Schnittstellen wie der NetWorker Management Console (NMC) oder NWUI funktioniert.
HINWEIS: Wenn die Probleme nach diesen Änderungen weiterhin bestehen, wenden Sie sich an den Domainadministrator, um die korrekten Werte in Active Directory zu überprüfen. Das Feld "Zusätzliche Informationen" enthält PowerShell-Befehle, die auf dem AD-Server ausgeführt werden können, um die für diese Felder erforderlichen Werte zu ermitteln.
Additional Information
Die AD-Gruppenmitgliedschaft kann auf dem Domainserver mithilfe der folgenden PowerShell-Befehle bestätigt werden.
Zeigen Sie an, welche AD-Nutzer zu einer Gruppe gehören.
Get-ADGroupMember -Identity "AD_GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Zeigen Sie, zu welchen AD-Gruppen ein Nutzer gehört:
Get-ADUser -Identity "AD_USER_NAME" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | ForEach-Object { Get-ADGroup $_ | Select-Object Name, ObjectClass, DistinguishedName }Affected Products
NetWorkerProducts
NetWorker FamilyArticle Properties
Article Number: 000247256
Article Type: Solution
Last Modified: 02 Apr 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.