NetWorker: Aanmelden bij NMC mislukt voor AD- of LDAP-gebruiker met 'U hebt geen bevoegdheden om NMC te gebruiken'
Summary: NMC-verificatie (NetWorker Management Console) met een Active Directory (AD) of LDAP-gebruiker (Lightweight Directory Access Protocol) mislukt. Er wordt een bericht weergegeven met de melding 'U hebt geen rechten om NetWorker Management Console te gebruiken.' De console is toegankelijk via de NetWorker Administrator of een ander lokaal NMC account. ...
Symptoms
- De volgende fout wordt weergegeven wanneer u zich probeert aan te melden bij NMC als een externe gebruiker (AD of LDAP):
- Dezelfde AD-gebruiker kan zich aanmelden met de
nsrloginopdrachtregeloptie. - De verificatie is geslaagd voor het standaard NetWorker Administrator-account.
- In sommige situaties kan deze fout alleen gevolgen hebben voor specifieke gebruikers.
nsrlogin
Open op de NetWorker-server een opdrachtprompt (of SSH-sessie) en voer de volgende opdrachtsyntaxis uit:
nsrlogin -t tenant_name -t domain -u username nsrlogout
- Tenant_name: In de meeste configuraties is deze waarde standaard; anders is dit de tenantnaam die is geconfigureerd door de NetWorker-beheerder.
- Domein: De domeinvoorvoegselwaarde die wordt gebruikt bij het aanmelden bij NMC
- Username: AD- of LDAP-gebruikersnaam zonder domeinvoorvoegsel
Cause
Resolution
- Meld u aan bij de NetWorker Management Console (NMC) als het standaard NetWorker Administrator-account.
- Ga naar Gebruikers en rollen > instellen > NMC Rollen.
- Bekijk de rollen Consolegebruikers en Applicatiebeheerders . De velden Externe rolrollen moeten de DN-naam (DN)
(volledig pad) bevatten van een AD-groep waartoe de gebruiker behoort; optioneel kan het pad van één gebruiker worden ingesteld.
Bijvoorbeeld:
- Nadat u de AD-groep-DN hebt toegevoegd aan de juiste NMC Roles voor de gebruiker, test u het aanmelden bij de NMC met die AD-gebruiker.
Additional Information
Als het probleem zich blijft voordoen, kunt u het lidmaatschap van de AD- of LDAP-groep verifiëren met de volgende opties:
Windows Powershell:
Voer vanaf een Windows-systeem op hetzelfde domein de volgende Powershell-opdracht uit:
Get-ADPrincipalGroupMembership -Identity USERNAME
Voorbeeld:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin ... ... distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local GroupCategory : Security GroupScope : Global name : NetWorker_Admins objectClass : group objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa SamAccountName : NetWorker_Admins SID : S-1-5-21-4085282181-485696706-820049737-1104
De distinguishedName uitgevoerd door de opdracht kan worden gebruikt in NetWorker om de AD-gebruiker toegang te verlenen tot NMC.
Zie het Microsoft-artikel Get-ADPrincipalGroupMembership
NetWorker voor meer informatie over deze opdracht authc_mgmt Opdracht:
U kunt gebruik maken van de authc_mgmt opdracht om een query uit te voeren op het AD- of LDAP-gebruikers- of groepslidmaatschap. Open op de NetWorker-server een opdrachtprompt (of SSH-sessie) en voer de volgende opdrachtsyntaxis uit:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
OPMERKING: U wordt gevraagd om het wachtwoord van het NetWorker Administrator-account in te voeren.
Bijvoorbeeld:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin Enter password: The query returns 2 records. Group Name Full Dn Name Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
De Full Dn Name van een van de groepen kan worden gebruikt om deze AD-gebruiker toegang te verlenen tot de NMC.
De configuratie en waarden die nodig zijn voor authc_mgmt Opdrachten kunnen worden verzameld door het volgende uit te voeren:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants