NMC: Falha no login do AD/LDAP "Você não tem privilégios para usar o NetWorker Management Console"

Summary: A autenticação externa (AD ou LDAP) é integrada ao NetWorker. Fazer log-in no NetWorker Management Console (NMC) como uma conta externa retorna o erro "Você não tem privilégios para usar o NetWorker Management Console". ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • A autenticação externa (Microsoft Active Directory (AD) ou LDAP (OpenLDAP) foi adicionada com sucesso ao serviço do servidor de autenticação do servidor do NetWorker.
  • Ao tentar fazer log-in no NetWorker Management Console (NMC) com uma conta do AD ou LDAP, uma caixa de erro será exibida informando "Você não tem privilégios para usar o NetWorker Management Console"
O login no NMC como usuário de domínio falha com Você não tem privilégios para usar o NetWorker Management Console

Cause

O serviço AUTHC do NetWorker reconhece o usuário no AD/LDAP, mas ele não tem privilégios para acessar o NMC. Contas externas normalmente recebem privilégios de acesso ao NMC usando funções do NMC. Essas funções são encontradas ao fazer log-in no NMC como a conta padrão de administrador do NetWorker. Em Setup-Users>and Groups-NMC>roles. Há três funções padrão:
Funções do NetWorker Management Console (NMC)
  • Administradores de aplicativos do console: Dá ao usuário/grupo acesso para fazer log-in no NMC e executar relatórios do NMC. Usuários ou grupos com acesso a privilégios de administradores de aplicativos podem alterar a configuração do NMC Enterprise.
  • Administradores de segurança do console: Concede ao usuário/grupo acesso para alterar as configurações de usuário e os grupos na configuração do NMC Enterprise.
  • Usuários do console: Dá ao usuário/grupo acesso para fazer log-in no NMC e executar relatórios do NMC; no entanto, o usuário não pode alterar as configurações do NMC Enterprise ou acessar informações de segurança. 

O sintoma neste artigo da KB é exibido quando:

  • O nome distinto (DN) do usuário ou grupo do AD/LDAP não foi especificado no campo de funções externas dos grupos Administradores de aplicativos do console ou Usuários do console.
  • O usuário do AD/LDAP não pertence a um grupo do AD/LDAP, que é definido no campo de funções externas dos grupos Administradores de aplicativos do console ou Usuários do console.
O campo External Roles não contém usuários ou grupos externos

Resolution

1. Determine qual host é o servidor de autenticação do NetWorker (AUTHC).

Nota: Em ambientes com um único servidor NetWorker, o servidor NetWorker é tipicamente o servidor AUTHC. Em casos raros, o serviço AUTHC em um servidor de console independente pode ser usado. Em ambientes que gerenciam vários servidores NetWorker a partir de um único console, apenas um servidor NetWorker é o servidor AUTHC.
  1. No servidor NetWorker Management Console (NMC), abra o gstd.conf .

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (padrão): C:\Arquivos de Programas\EMC NetWorker\Management\GST\etc\gstd.conf

  1. O arquivo gstd.conf contém uma string authsvc_hostname, que define o nome de host e a porta usada para processar solicitações de log-in no NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Abra um prompt elevado no servidor AUTHC e determine a qual grupo do AD o usuário pertence:


Os seguintes métodos podem ser usados:

Método do NetWorker:
Esse método determina a quais grupos do AD o usuário pertence. Ele também confirma se o NetWorker pode ver o usuário ou grupo. Se os caminhos de pesquisa forem definidos na autoridade externa do NetWorker, o AUTHC poderá não localizar usuários/grupos fora dos critérios definidos.
Use o seguinte authc_mgmt comando para consultar a quais grupos do AD um usuário pertence: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Você pode obter o nome do locatário com:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Você pode obter o nome de domínio com:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Exemplo:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Use o nome completo do DN para atribuir permissões na etapa 2.
 
Método do Active Directory:
Esse método mostra o grupo do AD de um usuário, mas não confirma a visibilidade para o AUTHC se os filtros de pesquisa na autoridade externa do NetWorker limitam o acesso.
 
Abra um prompt Admin do PowerShell no servidor de domínio e execute o seguinte comando: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Exemplo: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Use o distinguishedName para atribuir permissões na etapa 2.

3. Faça log-in no NMC como a conta padrão de administrador do NetWorker.
um. Acesse Setup-Users> e Roles-NMC> Roles.
b. Abra a função Usuários do NMC e especifique o nome distinto dos grupos do AD no campo Funções externas:

Campo Funções externas do NMC

Nota: Essa permissão é suficiente para acesso ao NMC; no entanto, o usuário não pode executar nenhuma tarefa administrativa na tela Enterprise do NMC. Para corresponder às permissões de administrador do NetWorker, defina o DN do grupo do AD em funções externas para as funções de aplicativo do console e administrador de segurança do console. Os grupos administradores de aplicativos e administradores de segurança contêm uma função externa padrão "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Não os remova.

4. Antes de se desconectar do NMC, confirme também se o grupo do AD foi definido em um grupo de usuários do servidor do NetWorker. Se o usuário não tiver permissões de servidor do NetWorker, ele poderá fazer log-in no NMC, mas não verá trabalhos ou recursos depois de se conectar ao servidor.

um. Enquanto ainda estiver conectado ao NMC como administrador padrão do NetWorker, conecte-se ao servidor do NetWorker.
b. Acesse Server-Users> e Groups.
c. Abra o grupo de usuários que tem as permissões que você deseja aplicar ao grupo do AD.
d. No campo External Roles, acrescente o nome distinto do grupo do AD:

Campo de funções externas Grupos de usuários do servidor do NetWorker

5. Tente fazer log-in no NMC usando a conta de usuário do AD/LDAP:

Exemplo de login no NMC como usuário de domínio amer.lan\bkupadmin
 
(Opcional) Se quiser que um grupo do AD/LDAP possa gerenciar autoridades externas, execute o seguinte no servidor do NetWorker para conceder permissões de FULL_CONTROL ao usuário ou grupo do AD.
um. Abra um prompt de comando administrativo/raiz.
b. Usando o DN de grupo do AD que você deseja conceder FULL_CONTROL Permissão para executar: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Exemplo: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

Additional Information

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000031431
Article Type: Solution
Last Modified: 27 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.