NetWorker: Вхід користувача AD через SSL не працює після додавання/оновлення зовнішньої аутентифікації в NetWorker 19.11
Summary: NetWorker був інтегрований із зовнішнім авторитетом за допомогою опції "AD over SSL". Зовнішня автентифікація була або нещодавно додана у версії 19.11, або була створена в більш ранній інтеграції, але була оновлена у версії 19.11.x. Не вдається ввійти в систему користувачів AD за допомогою «недійсного імені користувача або пароля», навіть якщо облікові дані правильні. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Помилка аутентифікації AD через SSL у NetWorker з «невірним ім'ям користувача або паролем»
- Використання authc_mgmt команд для перевірки приналежності користувача/групи користувачів AD повідомляє, що не вдається знайти користувача/групу.
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-ldap-users-for-group -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D group-name=AD_GROUP_NAME
Або:
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASSWORD' -e query-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USER_NAME
Звіт:
404: Server message: A group/user with the name GROUP/USER_NAME does not exist in authority EXTERNAL_AUTHORITY_RESOURCE_NAME
Приклад:
nve:~ # authc_mgmt -u Administrator -p '!Password1' -e query-ldap-users-for-group -D query-tenant=default -D query-domain=networker.lan -D group-name=NetWorker_Admins
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
at com.emc.brs.auth.client.template.impl.DefaultBRResponseErrorHandler.handleError(DefaultBRResponseErrorHandler.java:65) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.ResponseErrorHandler.handleError(ResponseErrorHandler.java:63) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.handleResponse(RestTemplate.java:825) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:783) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:717) ~[auth-cli-with-dependencies.jar:?]
at org.springframework.web.client.RestTemplate.exchange(RestTemplate.java:637) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.client.service.impl.DefaultBRAdminUserService.getLdapUserListForGroup(DefaultBRAdminUserService.java:239) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.queryUsersForGroup(LdapUserGroupCommand.java:134) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.commands.LdapUserGroupCommand.execute(LdapUserGroupCommand.java:77) ~[auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmtCmdExecutor.execute(AuthMgmtCmdExecutor.java:142) [auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmt.executeCommand(AuthMgmt.java:170) [auth-cli-with-dependencies.jar:?]
at com.emc.brs.auth.cli.core.AuthMgmt.main(AuthMgmt.java:79) [auth-cli-with-dependencies.jar:?]
ERROR [main] (DefaultLogger.java:190) - Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
Error executing command. Failure: 404 . Server message: A group with the name NetWorker_Admins does not exist in authority LDAPS
ПРИМІТКА: користувачі/групи, про які повідомляє authc, не існують в Active Directory насправді. Дивіться поле Додаткова інформація для команд для перевірки безпосередньо з сервера домену.
- AD через SSL було інтегровано в 19.11.x наступним чином: NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Cause
Це питання було піднято перед інженерами NetWorker.
Параметри за замовчуванням, які використовуються на вкладці «Додаткова конфігурація», зазвичай не використовуються в Active Directory:
Ці значення зазвичай використовуються для серверів LDAP (наприклад, OpenLDAP). Значення за замовчуванням, які зазвичай використовуються для Microsoft Active Directory:
Resolution
Ця проблема буде розглянута в наступних релізах NetWorker:
- 19.10.0.7 (січень 2025)
- 19.11.0.4 (лютий 2025)
Спосіб вирішення:
Відредагуйте зовнішній ресурс авторитету з веб-інтерфейсу користувача NetWorker (NWUI), щоб використовувати параметри за замовчуванням у вкладці «Додаткова конфігурація»:
- Клас групового об'єкта: група
- Атрибут члена групи: учасник
- Клас об'єкта користувача: людина або користувач
- Атрибут ідентифікатора користувача: sAMAccountName
Збережіть зміни та перевірте, чи працює аутентифікація AD через SSL з інтерфейсами NetWorker, такими як NetWorker Management Console (NMC) або NWUI.
ПРИМІТКА. Якщо після цих змін проблеми не зникають, зверніться до адміністратора домену, щоб перевірити правильність значень в Active Directory. Поле «Додаткова інформація» містить команди PowerShell, які можна запустити на сервері AD для визначення значень, потрібних для цих полів.
Additional Information
Членство в групі AD можна підтвердити на сервері домену за допомогою наведених нижче команд PowerShell.
Покажіть, до групи належать користувачі AD.
Get-ADGroupMember -Identity "AD_GROUP_NAME" | Select-Object Name, SamAccountName, ObjectClass, DistinguishedName
Покажіть, до яких груп AD належить користувач.
Get-ADUser -Identity "AD_USER_NAME" -Properties MemberOf | Select-Object -ExpandProperty MemberOf | ForEach-Object { Get-ADGroup $_ | Select-Object Name, ObjectClass, DistinguishedName }Affected Products
NetWorkerProducts
NetWorker FamilyArticle Properties
Article Number: 000247256
Article Type: Solution
Last Modified: 02 Apr 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.