NMC: AD/LDAP-login mislykkes "Du har ikke rettigheder til at bruge NetWorker Management Console"

Summary: Ekstern godkendelse (AD eller LDAP) er integreret med NetWorker. Når du logger på NetWorker Management Console (NMC) som en ekstern konto, returneres fejlen "Du har ikke rettigheder til at bruge NetWorker Management Console". ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Ekstern godkendelse (Microsoft Active Directory (AD) eller LDAP (OpenLDAP) er blevet føjet til NetWorker-serverens godkendelsesservertjeneste.
  • Når du forsøger at logge på NetWorker Management Console (NMC) med en AD- eller LDAP-konto, vises en fejlboks med teksten "Du har ikke rettigheder til at bruge NetWorker Management Console"
Logon på NMC som domænebruger mislykkes med Du har ikke rettigheder til at bruge NetWorker Management Console

Cause

NetWorkers AUTHC-tjeneste genkender brugeren i AD/LDAP, men de mangler rettigheder til at få adgang til NMC. Eksterne konti får typisk adgangsrettigheder til NMC ved hjælp af NMC-roller. Disse roller findes, når du logger på NMC som standard NetWorker-administratorkontoen. under Setup-Users>og Groups-NMC>Roles. Der er tre standardroller:
NetWorker Management Console-roller (NMC)
  • Administratorer af konsolprogrammer: Giver brugeren/gruppen adgang til at logge på NMC og køre NMC-rapporter. Brugere eller grupper med adgang til programadministratorrettigheder kan ændre NMC Enterprise-konfigurationen.
  • Konsolsikkerhedsadministratorer: Giver brugeren/gruppen adgang til at ændre brugerindstillinger og grupper i NMC Enterprise-konfigurationen.
  • Konsolbrugere: Giver brugeren/gruppen adgang til at logge på NMC og køre NMC-rapporter; Brugeren kan dog ikke ændre NMC Enterprise-indstillingerne eller få adgang til sikkerhedsoplysninger. 

Symptomet i denne KB vises, når:

  • AD/LDAP-brugeren eller gruppen Distinguished-Name (DN) var ikke angivet i feltet eksterne roller i hverken Konsolprogramadministratorer eller Konsolbrugere-grupper.
  • AD/LDAP-brugeren tilhører ikke en AD/LDAP-gruppe, som er defineret i feltet eksterne roller i grupperne Konsolprogramadministratorer eller Konsolbrugere.
Feltet Eksterne roller indeholder ingen eksterne brugere eller grupper

Resolution

1. Find ud af, hvilken vært der er NetWorker-godkendelsesserveren (AUTHC).

BEMÆRK: I miljøer med en enkelt NetWorker-server er NetWorker-serveren typisk AUTHC-serveren. I sjældne tilfælde kan AUTHC-tjenesten på en enkeltstående konsolserver bruges. I miljøer, der administrerer flere NetWorker-servere fra en enkelt konsol, er der kun én NetWorker-server, der er AUTHC-server.
  1. På NetWorker Management Console-serveren (NMC) skal du åbne gstd.conf fil.

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (standard): C:\Programmer\EMC NetWorker\Management\GST\etc\gstd.conf

  1. Filen gstd.conf indeholder en authsvc_hostname streng, som definerer værtsnavnet og porten, der bruges til behandling af loginanmodninger i NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Åbn en forhøjet prompt på AUTHC-serveren, bestem, hvilken AD-gruppe brugeren tilhører:


Følgende metoder kan anvendes:

NetWorker-metode:
Denne metode bestemmer, hvilke AD-grupper brugeren tilhører. Det bekræfter også, om NetWorker kan se brugeren eller gruppen. Hvis der er angivet søgestier i NetWorkers eksterne myndighed, kan AUTHC muligvis ikke finde brugere/grupper uden for de definerede kriterier.
Brug følgende authc_mgmt kommando til forespørgsel om, hvilke AD-grupper en bruger tilhører: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Du kan få lejerens navn med:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Du kan få domænenavnet med:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Eksempel:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Brug det fulde DN-navn til at tildele tilladelser i trin 2.
 
Active Directory-metode:
Denne metode viser en brugers AD-gruppe, men bekræfter ikke synlighed over for AUTHC, hvis søgefiltre i NetWorkers eksterne autoritet begrænser adgangen.
 
Åbn en Admin PowerShell-prompt på domæneserveren, og kør følgende kommando: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Eksempel: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Brug distinguishedName til at tildele tilladelser i trin 2.

3. Log på NMC som standard NetWorker-administratorkonto.
en. Gå til Setup-Users> og Roles-NMC> Roles.
b. Åbn rollen NMC-brugere, og angiv AD-gruppernes entydige navn i feltet Eksterne roller:

Feltet NMC-roller og eksterne roller

BEMÆRK: Denne tilladelse er tilstrækkelig til NMC-adgang; Brugeren kan dog ikke udføre administrative opgaver på NMC-virksomhedsskærmen. Hvis du vil matche NetWorker-administratortilladelser, skal du angive AD-gruppe-DN i eksterne roller for både konsolprogram- og konsolsikkerhedsadministratorroller. Grupperne Programadministratorer og Sikkerhedsadministratorer indeholder en ekstern standardrolle "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Fjern ikke disse.

4. Før du afbryder forbindelsen til NMC, skal du også bekræfte, om AD-gruppen er defineret i en NetWorker-serverbrugergruppe. Hvis brugeren mangler NetWorker-servertilladelser, kan vedkommende logge på NMC, men kan ikke se job eller ressourcer efter oprettelse af forbindelse til serveren.

en. Mens du stadig er logget på NMC som NetWorker-standardadministrator, skal du oprette forbindelse til NetWorker-serveren.
b. Fik til server-brugere> og grupper.
c. Åbn den brugergruppe, som har de tilladelser, du vil anvende på AD-gruppen.
d. Tilføj AD-gruppens entydige navn i feltet Eksterne roller:

Feltet NetWorker-serverbrugergrupper, eksterne roller

5. Forsøg at logge ind på NMC med AD/LDAP-brugerkontoen:

Eksempel på at logge på NMC som domænebruger amer.lan\bkupadmin
 
(Valgfrit) Hvis du ønsker, at en AD/LDAP-gruppe skal kunne administrere eksterne myndigheder, skal du udføre følgende på NetWorker-serveren for at tildele AD-brugeren eller -gruppen FULL_CONTROL tilladelser.
en. Åbn en administrations-/rodkommandoprompt.
b. Brug af AD-gruppe-DN, du vil tildele FULL_CONTROL Tilladelse til at køre: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Eksempel: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

Additional Information

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000031431
Article Type: Solution
Last Modified: 27 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.