НМК: Помилка входу в AD/LDAP "У вас немає привілеїв на використання консолі управління NetWorker"

Summary: Зовнішня аутентифікація (AD або LDAP) інтегрована з NetWorker. Вхід в консоль управління NetWorker (NMC) в якості зовнішнього облікового запису повертає помилку «У вас немає привілеїв на використання NetWorker Management Console». ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Зовнішня автентифікація (Microsoft Active Directory (AD) або LDAP (OpenLDAP) була успішно додана до служби сервера автентифікації сервера NetWorker.
  • При спробі увійти в консоль управління NetWorker (NMC) за допомогою облікового запису AD або LDAP з'являється вікно помилки «У вас немає привілеїв на використання NetWorker Management Console»
Вхід в NMC як користувач домену не вдається, у вас немає привілеїв на використання консолі управління NetWorker

Cause

Служба AUTHC NetWorker розпізнає користувача в AD/LDAP, але їм не вистачає привілеїв для доступу до NMC. Зовнішні облікові записи зазвичай отримують привілеї доступу до NMC за допомогою ролей NMC. Ці ролі знаходяться при вході в NMC як обліковий запис адміністратора NetWorker за замовчуванням. У розділі Налаштування-Користувачі>та групи-Ролі>NMC. За замовчуванням є три ролі:
Ролі консолі управління NetWorker (NMC)
  • Адміністратори консольних додатків: Надає користувачу/групі доступ до входу в NMC та запуску звітів NMC. Користувачі або групи з правами адміністратора додатків можуть змінювати конфігурацію NMC Enterprise.
  • Адміністратори безпеки консолі: Надає користувачу/групі доступ до зміни налаштувань і груп користувачів у конфігурації NMC Enterprise.
  • Користувачі консолі: Надає користувачу/групі доступ для входу в NMC та запуску звітів NMC; однак користувач не може змінювати настройки NMC Enterprise або отримувати доступ до відомостей безпеки. 

Симптом в цьому КБ з'являється при:

  • Відокремлене ім'я користувача AD/LDAP або групи не було вказано в полі зовнішніх ролей ні адміністраторів консольних програм, ні груп користувачів консолі.
  • Користувач AD/LDAP не належить до групи AD/LDAP, яка визначена в полі зовнішніх ролей груп «Адміністратори консольних програм» або «Користувачі консолі».
Поле «Зовнішні ролі» не містить зовнішніх користувачів або груп

Resolution

1. Визначте, який хост є сервером NetWorker Authentication (AUTHC).

ПРИМІТКА. У середовищах з одним сервером NetWorker сервер NetWorker зазвичай є сервером AUTHC. У рідкісних випадках може використовуватися служба AUTHC на окремому консольному сервері. У середовищах, що керують декількома серверами NetWorker з однієї консолі, лише один сервер NetWorker є сервером AUTHC.
  1. На сервері NetWorker Management Console (NMC) відкрийте файл gstd.conf файл.

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (за замовчуванням): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

  1. Файл gstd.conf містить рядок authsvc_hostname, який визначає ім'я хоста та порт, що використовуються для обробки запитів на вхід у NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Відкрийте підвищений запит на сервері AUTHC, визначте, до якої групи AD належить користувач:


Можуть використовуватися такі методи:

Метод NetWorker:
Цей метод визначає, до яких груп AD належить користувач. Він також підтверджує, чи може NetWorker бачити користувача або групу. Якщо шляхи пошуку встановлені в зовнішньому авторитеті NetWorker, AUTHC може не знайти користувачів/групи за межами визначених критеріїв.
Використовуйте наступне authc_mgmt команда, щоб запитати, до яких груп AD належить користувач: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Ви можете отримати ім'я орендаря за допомогою:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Ви можете отримати доменне ім'я за допомогою:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Приклад:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Використовуйте повне ім'я DN, щоб призначати дозволи на кроці 2.
 
Метод Active Directory:
Цей метод показує групу AD користувача, але не підтверджує видимість для AUTHC, якщо пошукові фільтри в зовнішньому авторитеті NetWorker обмежують доступ.
 
Відкрийте запит Admin PowerShell на сервері домену та виконайте таку команду: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Приклад: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Використовуйте distinctedName , щоб призначити дозволи на кроці 2.

3. Увійдіть до NMC як обліковий запис адміністратора NetWorker за замовчуванням.
a. Перейдіть до Налаштування-Користувачі> та ролі-Ролі> NMC.
b. Відкрийте роль «Користувачі NMC» і вкажіть відрізну назву груп AD у полі «Зовнішні ролі»:

Поле зовнішніх ролей NMC Roles

ПРИМІТКА. Цього дозволу достатньо для доступу до NMC; однак користувач не може виконувати будь-які адміністративні завдання на екрані NMC enterprise. Щоб відповідати дозволам адміністратора NetWorker, встановіть DN групи AD у зовнішніх ролях для ролей «Консольна програма» та «Адміністратор безпеки консолі». Групи «Адміністратори програм» і «Адміністратори безпеки» містять зовнішню роль за промовчанням "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Не видаляйте їх.

4. Перед відключенням від NMC також переконайтеся, що група AD була визначена в групі користувачів сервера NetWorker. Якщо у користувача немає дозволів на сервер NetWorker, він може увійти в NMC, але не побачить завдання або ресурси після підключення до сервера.

a. Увійшовши в систему NMC як адміністратор NetWorker за замовчуванням, підключіться до сервера NetWorker.
b. потрапили до серверів-користувачів> та груп.
c. Відкрийте групу користувачів, яка має дозволи, які ви хочете застосувати до групи AD.
d. У полі «Зовнішні ролі» додайте визначну назву групи AD:

Поле зовнішніх ролей груп користувачів сервера NetWorker

5. Спроба входу в NMC за допомогою облікового запису користувача AD/LDAP:

Приклад входу в NMC як користувач домену amer.lan\bkupadmin
 
(Необов'язково) Якщо ви хочете, щоб група AD/LDAP могла керувати зовнішніми службами, ви повинні виконати наступне на сервері NetWorker, щоб надати користувачу AD або групі FULL_CONTROL дозволи.
a. Відкрийте адміністративний/кореневий командний рядок.
b. Використання DN групи AD, який потрібно надати FULL_CONTROL Дозвіл на проведення робіт: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Приклад: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

Additional Information

Affected Products

NetWorker

Products

NetWorker, NetWorker Management Console
Article Properties
Article Number: 000031431
Article Type: Solution
Last Modified: 27 Oct 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.