NetWorker. Учетные записи пользователей AD через SSL не работают после добавления/обновления внешней проверки подлинности в NetWorker 19.11
Summary: NetWorker был интегрирован с внешним центром сертификации с помощью параметра "AD over SSL". Внешняя проверка подлинности была либо недавно добавлена в 19.11, либо была создана в более ранней интеграции, но была обновлена в 19.11.x. При входе пользователей AD не удается выполнить с ошибкой «invalid username or password», даже если учетные данные верны. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Проверка подлинности AD over SSL завершается сбоем в NetWorker с ошибкой "invalid username or password"
- Использование команд authc_mgmt для проверки членства пользователей AD в группах сообщает о том, что не удается найти пользователя или группу.
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-ldap-users-for-group -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D group-name=AD_GROUP_NAME
Или
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USER_NAME
Сообщать:
404: Server message: A group/user with the name GROUP/USER_NAME does not exist in authority EXTERNAL_AUTHORITY_RESOURCE_NAME
Пример.
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users-for-group -D query-tenant=default -D query-domain=networker.lan -D group-name=NetWorker_Admins
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
at com.emc.brs.auth.client.template.impl.DefaultBRResponseErrorHandler.handleError(DefaultBRResponseErrorHandler.java:65) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.ResponseErrorHandler.handleError(ResponseErrorHandler.java:63) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.handleResponse(RestTemplate.java:825) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:783) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:717) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.exchange(RestTemplate.java:637) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.client.service.impl.DefaultBRAdminUserService.getLdapUserListForGroup(DefaultBRAdminUserService.java:239) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.queryUsersForGroup(LdapUserGroupCommand.java:134) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.execute(LdapUserGroupCommand.java:77) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmtCmdExecutor.execute(AuthMgmtCmdExecutor.java:142) [auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmt.executeCommand(AuthMgmt.java:170) [auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmt.main(AuthMgmt.java:79) [auth-cli-with-dependencies.jar:?]
ERROR [main] (DefaultLogger.java:190) - Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
ПРИМЕЧАНИЕ. Пользователи/группы, о которых сообщает authc, на самом деле не существуют в Active Directory. Команды для проверки непосредственно с сервера домена см. в поле «Дополнительная информация».
- Технология AD over SSL была интегрирована в 19.11.x следующим образом: NetWorker. Настройка AD через SSL (LDAPS) из веб-интерфейса пользователя NetWorker (NWUI)
Cause
Этот вопрос был поднят перед инженерами NetWorker.
Параметры по умолчанию, используемые на вкладке «Расширенная конфигурация», обычно не используются в Active Directory:
Эти значения обычно используются для серверов LDAP (например, OpenLDAP). Для Microsoft Active Directory обычно используются следующие значения по умолчанию:
Resolution
Эта проблема будет решена в следующих выпусках NetWorker:
- 19.10.0.7 (январь 2025)
- 19.11.0.4 (февраль 2025 г.)
Временное решение.
Отредактируйте внешний ресурс центра в веб-интерфейсе пользователя NetWorker (NWUI), чтобы использовать параметры по умолчанию на вкладке Расширенная конфигурация:
- Класс объекта группы: group
- Атрибут участника группы: member
- Класс объекта пользователя: person или user
- Атрибут идентификатора пользователя: sAMAccountName
Сохраните изменения и проверьте, работает ли аутентификация AD через SSL с интерфейсами NetWorker, такими как NetWorker Management Console (NMC) или NWUI.
ПРИМЕЧАНИЕ. Если после этих изменений проблемы не будут устранены, обратитесь к администратору домена для проверки правильности значений в Active Directory. Поле «Дополнительная информация» содержит команды PowerShell, которые можно выполнить на сервере AD для определения значений, необходимых для этих полей.
Additional Information
Членство в группе AD можно подтвердить на сервере домена с помощью следующих команд PowerShell.
Показывает, какие пользователи AD входят в группу.
Get-ADGroupMember -Identity "AD_GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Показать, к каким группам AD принадлежит пользователь:
Get-ADUser -Identity "AD_USER_NAME" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | ForEach-Object { Get-ADGroup $_ | Select-Object Name, ObjectClass, DistinguishedName }Affected Products
NetWorkerProducts
NetWorker FamilyArticle Properties
Article Number: 000247256
Article Type: Solution
Last Modified: 02 Apr 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.