NetWorker:NetWorker 19.11で外部認証を追加/更新した後、AD over SSLユーザー ログインが機能しない

Summary: NetWorkerは、「AD over SSL」オプションを使用して外部機関と統合されました。外部認証は、 19.11で新しく追加されたか、以前の統合で作成されましたが、19.11.xでアップデートされました。認証情報が正しいにもかかわらず、ADユーザーのログインが「無効なユーザー名またはパスワード」で失敗します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • AD over SSL認証がNetWorkerで「無効なユーザー名またはパスワード」で失敗する

  • authc_mgmtコマンドを使用してADユーザーのユーザー/グループ メンバーシップを確認すると、ユーザー/グループが見つからないと報告されます。
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-ldap-users-for-group -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D group-name=AD_GROUP_NAME
または 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USER_NAME
報告: 
404: Server message: A group/user with the name GROUP/USER_NAME does not exist in authority EXTERNAL_AUTHORITY_RESOURCE_NAME
Example: 
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users-for-group -D query-tenant=default -D query-domain=networker.lan -D group-name=NetWorker_Admins
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
        at com.emc.brs.auth.client.template.impl.DefaultBRResponseErrorHandler.handleError(DefaultBRResponseErrorHandler.java:65) ~[auth-cli-with-dependencies.jar:?]
        at org.springframework.web.client.ResponseErrorHandler.handleError(ResponseErrorHandler.java:63) ~[auth-cli-with-dependencies.jar:?]
        at org.springframework.web.client.RestTemplate.handleResponse(RestTemplate.java:825) ~[auth-cli-with-dependencies.jar:?]
        at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:783) ~[auth-cli-with-dependencies.jar:?]
        at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:717) ~[auth-cli-with-dependencies.jar:?]
        at org.springframework.web.client.RestTemplate.exchange(RestTemplate.java:637) ~[auth-cli-with-dependencies.jar:?]
        at com.emc.brs.auth.client.service.impl.DefaultBRAdminUserService.getLdapUserListForGroup(DefaultBRAdminUserService.java:239) ~[auth-cli-with-dependencies.jar:?]
        at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.queryUsersForGroup(LdapUserGroupCommand.java:134) ~[auth-cli-with-dependencies.jar:?]
        at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.execute(LdapUserGroupCommand.java:77) ~[auth-cli-with-dependencies.jar:?]
        at com.emc.brs.auth.cli.core.AuthMgmtCmdExecutor.execute(AuthMgmtCmdExecutor.java:142) [auth-cli-with-dependencies.jar:?]
        at com.emc.brs.auth.cli.core.AuthMgmt.executeCommand(AuthMgmt.java:170) [auth-cli-with-dependencies.jar:?]
        at com.emc.brs.auth.cli.core.AuthMgmt.main(AuthMgmt.java:79) [auth-cli-with-dependencies.jar:?]
ERROR [main] (DefaultLogger.java:190) - Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
メモ: authcがActive Directoryに存在しないと報告しているユーザー/グループは、実際には存在します。ドメイン サーバーから直接確認するためのコマンドについては、追加情報フィールドを参照してください

Cause

この問題は、NetWorkerエンジニアリングに提起されました。

[詳細構成]タブで使用されるデフォルトのパラメーターは、通常、Active Directoryでは使用されません。

これらの値は通常、LDAPサーバー(OpenLDAPなど)に使用されます。Microsoft Active Directoryで一般的に使用されるデフォルト値は次のとおりです。

Resolution

この問題は、次のNetWorkerリリースで解決される予定です。

  • 19.10.0.7(2025 年 1 月)
  • 19.11.0.4(2025 年 2 月)


対処方法:

詳細構成タブのデフォルト パラメーターを使用するには、NetWorker Webユーザー インターフェイス(NWUI)から外部認証機関リソースを編集します。

  • グループ オブジェクト クラス: group
  • グループ メンバー属性: member
  • ユーザー・オブジェクト・クラス: personまたはuser
  • ユーザーID属性: sAMAccountName

変更を保存し、ADオーバーSSL認証がNetWorker管理コンソール(NMC)やNWUIなどのNetWorkerインターフェイスで機能するかどうかを確認します。
 

メモ: これらの変更後も問題が解決しない場合は、ドメイン管理者に問い合わせて、Active Directoryの値が正しいことを確認してください。[追加情報]フィールドには、これらのフィールドに必要な値を決定するためにADサーバーで実行できるPowerShellコマンドが含まれています。

Additional Information

ADグループ メンバーシップは、次のPowerShellコマンドを使用してドメイン サーバーで確認できます

グループに属するADユーザーを表示します。

Get-ADGroupMember -Identity "AD_GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName

ユーザーが属するADグループを表示します。

Get-ADUser -Identity "AD_USER_NAME" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | ForEach-Object { Get-ADGroup $_ | Select-Object Name, ObjectClass, DistinguishedName }

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000247256
Article Type: Solution
Last Modified: 02 Apr 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.