NMC: El inicio de sesión de AD/LDAP falla "No tiene privilegios para usar NetWorker Management Console"
Summary: La autenticación externa (AD o LDAP) está integrada con NetWorker. El inicio de sesión en NetWorker Management Console (NMC) como una cuenta externa arroja el error "No tiene privilegios para usar NetWorker Management Console". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- La autenticación externa (Microsoft Active Directory (AD) o LDAP (OpenLDAP) se agregó correctamente al servicio del servidor de autenticación del servidor NetWorker Server.
- Cuando se intenta iniciar sesión en NetWorker Management Console (NMC) con una cuenta de AD o LDAP, aparece un cuadro de error que indica "No tiene privilegios para usar NetWorker Management Console"
Cause
El servicio AUTHC de NetWorker reconoce al usuario en AD/LDAP, pero carece de privilegios para acceder a NMC. Por lo general, las cuentas externas reciben privilegios de acceso a NMC mediante el uso de funciones de NMC. Estas funciones se encuentran al iniciar sesión en NMC como la cuenta predeterminada de administrador de NetWorker. En Setup-Users>and Groups-NMC>Roles. Hay tres funciones predeterminadas:
- Administradores de aplicaciones de consola: Otorga al usuario/grupo acceso para iniciar sesión en NMC y ejecutar informes de NMC. Los usuarios o grupos con acceso a privilegios de administrador de aplicaciones pueden cambiar la configuración de NMC Enterprise.
- Administradores de seguridad de Console: Otorga al usuario/grupo acceso para cambiar los ajustes y los grupos de usuario en la configuración de NMC Enterprise.
- Usuarios de la consola: Otorga al usuario/grupo acceso para iniciar sesión en NMC y ejecutar informes de NMC; sin embargo, el usuario no puede cambiar la configuración de NMC Enterprise ni acceder a la información de seguridad.
El síntoma de este artículo de la base de conocimientos aparece cuando:
- El nombre distinguido (DN) del usuario o grupo de AD/LDAP no se especificó en el campo de funciones externas de los grupos Administradores de aplicaciones de Console o Usuarios de Console.
- El usuario de AD/LDAP no pertenece a un grupo de AD/LDAP definido en el campo de funciones externas de los grupos Administradores de aplicaciones de Console o Usuarios de Console.
Resolution
1. Determine qué host es el servidor de autenticación de NetWorker (AUTHC).
NOTA: En ambientes con un solo NetWorker Server, NetWorker Server suele ser el servidor AUTHC. En raras ocasiones, se puede utilizar el servicio AUTHC en un servidor de consola independiente. En entornos que administran varios servidores NetWorker Server desde una sola consola, solo un servidor NetWorker Server es el servidor AUTHC.
- En el servidor de NetWorker Management Console (NMC), abra el archivo
gstd.confde NetWorker.
Linux: /opt/lgtonmc/etc/gstd.conf
Windows (predeterminado): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
- El archivo gstd.conf contiene una cadena authsvc_hostname, que define el nombre de host y el puerto utilizados para procesar solicitudes de inicio de sesión en NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
int authsvc_port = 9090;
2. Abra un indicador elevado en el servidor AUTHC y determine a qué grupo de AD pertenece el usuario:
Se pueden utilizar los siguientes métodos:
Método de NetWorker:
Este método determina a qué grupos de AD pertenece el usuario. También confirma si NetWorker puede ver el usuario o el grupo. Si las rutas de búsqueda se configuran en la autoridad externa de NetWorker, es posible que AUTHC no encuentre usuarios/grupos fuera de los criterios definidos.
Utilice lo siguiente:
authc_mgmt para consultar a qué grupos de AD pertenece un usuario:
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
- Puede obtener el nombre del inquilino con:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
- Puede obtener el nombre de dominio con:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Ejemplo:
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1 default
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1 amer_ad
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : amer_ad
Config Domain : amer.lan
Config Server Address : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : true
Config Search Subtree : true
[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Utilice el nombre DN completo para asignar permisos en el paso 2.
Método de Active Directory:
Este método muestra el grupo de AD de un usuario, pero no confirma la visibilidad para AUTHC si los filtros de búsqueda en la autoridad externa de NetWorker limitan el acceso.
Abra un símbolo del sistema de PowerShell de administrador en el servidor de dominio y ejecute el siguiente comando:
Get-ADPrincipalGroupMembership AD_USERNAME
Ejemplo:
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin
distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory : Security
GroupScope : Global
name : NetWorker_Admins
objectClass : group
objectGUID : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName : NetWorker_Admins
SID : S-1-5-21-3150365795-1515931945-3124253046-9611
distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory : Security
GroupScope : Global
name : Domain Users
objectClass : group
objectGUID : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName : Domain Users
SID : S-1-5-21-3150365795-1515931945-3124253046-513
Utilice distinguishedName para asignar permisos en el paso 2.
3. Inicie sesión en NMC como la cuenta de administrador predeterminada de NetWorker.
un. Vaya a Configuración-Usuarios> y funciones-Funciones de> NMC.
b. Abra la función Usuarios de NMC y especifique el nombre distinguido de los grupos de AD en el campo Funciones externas:
b. Abra la función Usuarios de NMC y especifique el nombre distinguido de los grupos de AD en el campo Funciones externas:
NOTA: Este permiso es suficiente para el acceso a NMC; sin embargo, el usuario no puede realizar ninguna tarea administrativa en la pantalla Enterprise de NMC. Para que coincidan los permisos de administrador de NetWorker, configure el DN del grupo de AD en Funciones externas para las funciones Aplicación de consola y Administrador de seguridad de Console. Los grupos de administradores de aplicaciones y administradores de seguridad contienen una función externa predeterminada
"cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." No los quite.
4. Antes de desconectarse de NMC, confirme también si el grupo de AD se definió en un grupo de usuarios de NetWorker Server. Si el usuario no tiene permisos de NetWorker Server, puede iniciar sesión en NMC, pero no verá trabajos ni recursos después de conectarse al servidor.
un. Mientras aún está conectado a NMC como el administrador predeterminado de NetWorker, conéctese a NetWorker Server.
b. Llegamos a Usuarios y grupos del> servidor.
c. Abra el grupo de usuarios que tiene los permisos que desea que se apliquen al grupo de AD.
d. En el campo Funciones externas, agregue el nombre distintivo del grupo de AD:
5. Intente iniciar sesión en NMC con la cuenta de usuario de AD/LDAP:
(Opcional) Si desea que un grupo de AD/LDAP pueda administrar autoridades externas, debe realizar lo siguiente en NetWorker Server para otorgar permisos de FULL_CONTROL al usuario o grupo de AD.
un. Abra un símbolo del sistema de administración/raíz.
b. Uso del DN de grupo de AD que desea otorgar
b. Uso del DN de grupo de AD que desea otorgar
FULL_CONTROL Permiso para ejecutar:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Ejemplo:
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL CN=NetWorker_Admins,dc=amer,dc=lan
Additional Information
- NetWorker: Cómo configurar la autenticación de AD/LDAP
- El usuario de AD de LDAP no puede ver los usuarios de NMC ni las funciones de NMC "No se puede obtener información del usuario del servicio de autenticación [Acceso denegado]"
- NetWorker: Integración y configuración de AD y LDAP (Guía de solución de problemas)
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000031431
Article Type: Solution
Last Modified: 27 Oct 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.