NetWorker: Přihlášení k konzoli NMC se nezdaří pro uživatele služby AD nebo LDAP s chybou "You do not have permissions to use NMC"

• Při pokusu o přihlášení k konzoli NMC jako externí uživatel (AD nebo LDAP) se zobrazí následující chyba:

• Stejný uživatel služby AD se může přihlásit pomocí nsrlogin Parametr příkazového řádku.
• Ověření proběhne v případě výchozího účtu správce NetWorker úspěšně.
• V některých situacích může tato chyba ovlivnit pouze konkrétní uživatele.

nsrlogin

nsrlogin -t tenant_name -t domain -u username
nsrlogout

• Tenant_name: Ve většině konfigurací je tato hodnota výchozí. v opačném případě se jedná o název tenanta nakonfigurovaný správcem NetWorker.
• Doména: Hodnota předpony domény, která se používá při přihlašování do konzole NMC
• Username: Uživatelské jméno AD nebo LDAP bez předpony domény

1. Přihlaste se do konzole NetWorker Management Console (NMC) jako výchozí účet správce NetWorker.
2. Přejděte do části Nastavení > uživatelů a rolí > Role NMC.
3. Zkontrolujte role Console Users a Application Administrators. Pole Role externích rolí by měla obsahovat rozlišující název (DN) (úplná cesta) skupiny AD, do které uživatel patří. Volitelně lze nastavit cestu jednoho uživatele. 

Například:

4. Po přidání DN skupiny AD do příslušných rolí NMC pro uživatele otestujte přihlášení k NMC pomocí tohoto uživatele AD.

Pokud problém přetrvává, můžete ověřit členství ve skupině AD nebo LDAP pomocí následujících možností:

Windows Powershell:

Ze systému Windows ve stejné doméně spusťte následující příkaz Powershell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Příklad:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Skript distinguishedName Výstup příkazu lze použít v nástroji NetWorker k udělení přístupu uživateli AD k konzoli NMC.

Další informace o tomto příkazu naleznete v článku společnosti Microsoft Get-ADPrincipalGroupMembership 

NetWorker. authc_mgmt Příkaz:

Pomocí příkazu authc_mgmt příkaz k dotazování členství uživatele nebo skupiny AD nebo LDAP. Na serveru NetWorker otevřete příkazový řádek (nebo relaci SSH) a spusťte následující syntaxi příkazu:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Skript Full Dn Name jedné ze skupin lze tomuto uživateli AD udělit přístup k NMC.

Konfigurace a hodnoty, které jsou potřebné pro authc_mgmt Příkazy lze shromažďovat spuštěním:

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants

Viz: NetWorker: Jak nastavit ověřování AD nebo LDAP