NMC: AD/LDAP-pålogging mislykkes «Du har ikke rettigheter til å bruke NetWorker Management Console»

Summary: Ekstern godkjenning (AD eller LDAP) er integrert med NetWorker. Når du logger på NetWorker Management Console (NMC) som en ekstern konto, returneres feilen «Du har ikke rettigheter til å bruke NetWorker Management Console». ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Ekstern godkjenning (Microsoft Active Directory (AD) eller LDAP (OpenLDAP) er lagt til NetWorker-serverens godkjenningsservertjeneste.
  • Når du prøver å logge på NetWorker Management Console (NMC) med en AD- eller LDAP-konto, vises en feilmelding om at «Du har ikke rettigheter til å bruke NetWorker Management Console»
Pålogging til NMC som domenebruker mislykkes med Du har ikke rettigheter til å bruke NetWorker Management Console

Cause

NetWorkers autoriseringstjeneste gjenkjenner brukeren i AD/LDAP, men vedkommende mangler rettigheter til å få tilgang til NMC. Eksterne kontoer gis vanligvis tilgangsrettigheter til NMC ved hjelp av NMC-roller. Disse rollene blir funnet når du logger på NMC som standard NetWorker Administrator-konto. Under Setup-Users>og Groups-NMC>roller. Det er tre standardroller:
Roller for NetWorker Management Console (NMC)
  • Administratorer for konsollapplikasjon: Gir brukeren/gruppen tilgang til å logge på NMC og kjøre NMC Reports. Brukere eller grupper med rettigheter som programadministratorer kan endre NMC Enterprise-konfigurasjonen.
  • Sikkerhetsadministratorer for konsollen: Gir brukeren/gruppen tilgang til å endre brukerinnstillinger og grupper i NMC Enterprise-konfigurasjonen.
  • Konsollbrukere: Gir brukeren/gruppen tilgang til å logge på NMC og kjøre NMC-rapporter; Brukeren kan imidlertid ikke endre NMC Enterprise-innstillingene eller få tilgang til sikkerhetsinformasjon. 

Symptomet i denne KB vises når:

  • AD/LDAP-brukeren eller gruppen Distinguished-Name (DN) ble ikke angitt i feltet eksterne roller i verken gruppen Konsollprogramadministratorer eller Konsollbrukere.
  • AD/LDAP-brukeren tilhører ikke en AD/LDAP-gruppe som er definert i feltet eksterne roller i gruppene Konsollprogramadministratorer eller Konsollbrukere.
Eksterne roller-feltet inneholder ingen eksterne brukere eller grupper

Resolution

1. Finn ut hvilken vert som er NetWorker Authentication-serveren (AUTHC).

MERK: I miljøer med én enkelt NetWorker-server er NetWorker-serveren vanligvis AUTC-serveren. I sjeldne tilfeller kan AUTC-tjenesten på en frittstående konsollserver brukes. I miljøer som administrerer flere NetWorker-servere fra én enkelt konsoll, er bare én NetWorker-server AUTC-serveren.
  1. Åpne ikonet på NetWorker Management Console-serveren (NMC) gstd.conf fil.

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (standard): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

  1. Filen gstd.conf inneholder en authsvc_hostname streng som definerer vertsnavnet og porten som brukes til å behandle påloggingsforespørsler i NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Åpne en forhøyet ledetekst på AUTC-serveren, og finn ut hvilken AD-gruppe brukeren tilhører:


Følgende metoder kan brukes:

NetWorker-metoden:
Denne metoden bestemmer hvilke AD-grupper brukeren tilhører. Den bekrefter også om NetWorker kan se brukeren eller gruppen. Hvis søkebaner er angitt i NetWorkers eksterne autoritet, kan det hende at AUTHC ikke finner brukere/grupper utenfor de definerte kriteriene.
Bruk følgende authc_mgmt kommando for å spørre hvilke AD-grupper en bruker tilhører: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Du kan få navnet på leier med:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Du kan få domenenavnet med:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Eksempel:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Bruk Fullstendig DN-navn til å tilordne tillatelser i trinn 2.
 
Active Directory-metode:
Denne metoden viser en brukers AD-gruppe, men bekrefter ikke synligheten til AUTHC hvis søkefiltre i NetWorkers eksterne autoritet begrenser tilgangen.
 
Åpne en PowerShell-ledetekst for administrator på domeneserveren, og kjør følgende kommando: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Eksempel: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Bruk distinguishedName til å tilordne tillatelser i trinn 2.

3. Logg på NMC som standard NetWorker Administrator-konto.
en. Gå til rollene Setup-Users> og Roles-NMC.>
b. Åpne rollen NMC-brukere, og angi navnet på AD-gruppene i feltet Eksterne roller:

NMC Roller eksterne roller-feltet

MERK: Denne tillatelsen er tilstrekkelig for NMC-tilgang; Brukeren kan imidlertid ikke utføre noen administrative oppgaver i NMC Enterprise-skjermbildet. Hvis du vil samsvare med NetWorker Administrator-tillatelser, angir du AD-gruppen DN i Eksterne roller for både konsollprogram- og konsollsikkerhetsadministratorroller. Gruppene Programadministratorer og Sikkerhetsadministratorer inneholder en standard ekstern rolle "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Ikke fjern disse.

4. Før du kobler fra NMC, må du også bekrefte om AD-gruppen er definert i en NetWorker-serverbrukergruppe. Hvis brukeren mangler NetWorker-servertillatelser, kan vedkommende logge på NMC, men vil ikke se jobber eller ressurser etter at de har koblet til serveren.

en. Mens du fortsatt er logget på NMC som standard NetWorker Administrator, kobler du til NetWorker-serveren.
b. Fikk til server-brukere> og grupper.
c. Åpne brukergruppen som har tillatelsene du vil bruke på AD-gruppen.
d. I feltet Eksterne roller tilføyer du AD-gruppens unike navn:

Feltet Eksterne roller for NetWorker-server

5. Forsøk å logge på NMC med AD/LDAP-brukerkontoen:

Eksempel på pålogging til NMC som domenebruker amer.lan\bkupadmin
 
(Valgfritt) Hvis du vil at en AD/LDAP-gruppe skal kunne administrere eksterne instanser, må du gjøre følgende på NetWorker-serveren for å gi AD-brukeren eller -gruppen FULL_CONTROL tillatelser.
en. Åpne en administrativ/rotledetekst.
b. Bruke AD-gruppen DN du vil gi FULL_CONTROL Tillatelse til å kjøre: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Eksempel: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

Additional Information

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000031431
Article Type: Solution
Last Modified: 27 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.