NetWorker: AD/LDAP-Benutzer kann NMC-Benutzer oder NMC-Rollen "Unable to get user information from authentication service [Access is Denied]" nicht sehen.
Summary: Sie können sich mit einem LDAP AD-Benutzer beim NMC anmelden, aber nmc-Rollen oder NMC-Benutzer können nicht angezeigt werden. Die Fehlermeldung "Unable to get user information from authentication service [Access is Denied]" wird angezeigt. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Sie können sich mit einem LDAP AD-Benutzer beim NMC anmelden, aber nmc-Rollen oder NMC-Benutzer können nicht angezeigt werden. Die Fehlermeldung "Unable to get user information from authentication service [Access is Denied]" wird angezeigt.
Cause
Thema 1: Der AD-Gruppen-DN ist nicht in den NMC-Rollen "Console Security Administrator" und/oder den "Sicherheitsadministratoren"
der NetWorker-Server-Benutzergruppe angegeben. Problem 2: Die externe NetWorker-Authentifizierungskonfiguration weist ein falsches oder fehlendes "Config User Group Attribute" auf.
Thema 3: Der AD-Gruppen-DN, dem keine FULL_CONTROL Administratorrechte gewährt wurden.
der NetWorker-Server-Benutzergruppe angegeben. Problem 2: Die externe NetWorker-Authentifizierungskonfiguration weist ein falsches oder fehlendes "Config User Group Attribute" auf.
Thema 3: Der AD-Gruppen-DN, dem keine FULL_CONTROL Administratorrechte gewährt wurden.
Resolution
Thema 1:
1) Melden Sie sich als Standardmäßiges NetWorker-Administratorkonto bei NMC an.
2) Gehen Sie zu Setup –> Benutzer und Rollen – NMC-Rollen>.
3) Öffnen Sie die Eigenschaften der Rollen "Console Security Administrator" und "Console Application Administrator".
4) Im Feld Externe Rollen sollte der Distinguished Name (DN) der AD-Gruppe(n) für NetWorker-Administratoren angegeben werden.
Hinweis: Wenn Sie sich nicht sicher sind, ob der angegebene DN angegeben wird, finden Sie im Feld Hinweise Die Schritte, die für die Erfassung dieser Informationen abgeschlossen werden können. Die AD-Gruppen-DNs sollten auch zu den Externen Rollenfeldern der Benutzergruppe des entsprechenden NetWorker-Servers hinzugefügt werden. Stellen Sie über nmC als Standardmäßiges NetWorker-Administratorkonto eine Verbindung zum NetWorker-Server her und navigieren Sie zu Server –> Benutzergruppen. Ohne dies können Sie sich als AD-Benutzer bei NMC anmelden, aber keine Verbindung zum NetWorker-Server herstellen.
Beispiel:
In diesem Fall ist das "Config User Group Attribute" leer. Für die AD-basierte Authentifizierung sollte dieses Feld auf memberOf festgelegt werden. Wenn dieses Feld leer ist oder einen anderen Wert aufweist, führen Sie die folgenden Schritte aus:
2) Um diesen Wert über den Befehl zu aktualisieren, führen Sie folgende Schritte aus:
1) Melden Sie sich als Standardmäßiges NetWorker-Administratorkonto bei NMC an.
2) Gehen Sie zu Setup –> Benutzer und Rollen – NMC-Rollen>.
3) Öffnen Sie die Eigenschaften der Rollen "Console Security Administrator" und "Console Application Administrator".
4) Im Feld Externe Rollen sollte der Distinguished Name (DN) der AD-Gruppe(n) für NetWorker-Administratoren angegeben werden.
Hinweis: Wenn Sie sich nicht sicher sind, ob der angegebene DN angegeben wird, finden Sie im Feld Hinweise Die Schritte, die für die Erfassung dieser Informationen abgeschlossen werden können. Die AD-Gruppen-DNs sollten auch zu den Externen Rollenfeldern der Benutzergruppe des entsprechenden NetWorker-Servers hinzugefügt werden. Stellen Sie über nmC als Standardmäßiges NetWorker-Administratorkonto eine Verbindung zum NetWorker-Server her und navigieren Sie zu Server –> Benutzergruppen. Ohne dies können Sie sich als AD-Benutzer bei NMC anmelden, aber keine Verbindung zum NetWorker-Server herstellen.
Beispiel:
5) Sobald der DN der AD-Gruppe(n) Ihres NetWorker-Administrators zu beiden Rollen hinzugefügt wurde. Melden Sie sich beim NMC als AD-Benutzer an, der zur neu hinzugefügten Gruppe gehört, und überprüfen Sie, ob Sie die NMC-Benutzer- und NMC-Rollenkonfigurationen sehen können.
Thema 2:
1) Überprüfen Sie Ihre vorhandene Konfiguration mit Ihrer Konfigurations-ID:
Thema 2:
1) Überprüfen Sie Ihre vorhandene Konfiguration mit Ihrer Konfigurations-ID:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Hinweis: Das angegebene Konto ist das NetWorker-Administratorkonto/-Passwort. Ersetzen Sie # durch die im ersten Befehl erfasste Konfigurations-ID.
Beispiel:
Beispiel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
In diesem Fall ist das "Config User Group Attribute" leer. Für die AD-basierte Authentifizierung sollte dieses Feld auf memberOf festgelegt werden. Wenn dieses Feld leer ist oder einen anderen Wert aufweist, führen Sie die folgenden Schritte aus:
2) Um diesen Wert über den Befehl zu aktualisieren, führen Sie folgende Schritte aus:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Hinweis: In einigen Systemen können Sie einzelne Werte nicht aktualisieren. Wenn Sie eine Fehlermeldung mit dem obigen Befehl erhalten, wird empfohlen, die Skriptvorlagen zu verwenden, die unter zu finden sind:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Hinweis: Im obigen Windows-Pfad wird davon ausgegangen, dass der Standardmäßige NetWorker-Installationspfad verwendet wurde.
Hinweis: Im obigen Windows-Pfad wird davon ausgegangen, dass der Standardmäßige NetWorker-Installationspfad verwendet wurde.
Wenn das Skript verwendet wird, können Sie "-e add-config" in "-e update-config" ändern und die restlichen Felder gemäß Ihrer Umgebung ausfüllen. Das Attribut "Config User Group" sollte in der Skriptvorlage (standardmäßig) auf "-D "config-user-group-attr=memberOf" festgelegt werden. Sobald die Konfiguration aktualisiert wurde, sollten Sie die Folgenden änderungen sehen: authc_config -u Administrator -p Kennwort -e find-config -D config-id=#
Beispiel:
Beispiel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Melden Sie sich bei NMC ab und melden Sie sich mit Ihrem AD-Benutzer wieder an.
Thema 3:
In einigen Fällen wird auch nach dem Hinzufügen der AD-Gruppen-DN(s) zu den Feldern externe Rollen von Konsolensicherheitsadministrator und Konsolenanwendungsadministrator immer noch der Fehler "Zugriff verweigert" angezeigt. FULL_CONTROL Berechtigungen können zu den AD-Gruppen der NetWorker-Administratoren hinzugefügt werden.
1) Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem NetWorker-Server
2) Überprüfen Sie, welche AD-Gruppen über FULL_CONTROL Berechtigungen verfügen:
In einigen Fällen wird auch nach dem Hinzufügen der AD-Gruppen-DN(s) zu den Feldern externe Rollen von Konsolensicherheitsadministrator und Konsolenanwendungsadministrator immer noch der Fehler "Zugriff verweigert" angezeigt. FULL_CONTROL Berechtigungen können zu den AD-Gruppen der NetWorker-Administratoren hinzugefügt werden.
1) Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem NetWorker-Server
2) Überprüfen Sie, welche AD-Gruppen über FULL_CONTROL Berechtigungen verfügen:
authc_config -u Administrator -p Kennwort -e find-all-permissions
Hinweis: Das angegebene Konto ist das NetWorker-Administratorkonto/-Passwort.
3)Wenn der DN der NetWorker-Administratorgruppe nicht angegeben ist, führen Sie den folgenden Befehl aus:
3)Wenn der DN der NetWorker-Administratorgruppe nicht angegeben ist, führen Sie den folgenden Befehl aus:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Hinweis: Permission-group-dn sollte den vollständigen DN der Gruppe enthalten, der Sie die Berechtigungen hinzufügen möchten. Wenn Sie sich der Gruppen-DN nicht sicher sind, lesen Sie das Feld Hinweise zum Erfassen dieser Informationen.
Beispiel:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Sobald die Berechtigung hinzugefügt wurde, können Sie die Änderungen bestätigen, indem Sie den Befehl find-all-permissions aus Schritt 2 ausführen.
5) Melden Sie sich bei NMC mit einem AD-Benutzer an, der zu der Gruppe gehört, zu der Sie gerade Berechtigungen hinzugefügt haben, und überprüfen Sie, ob Sie die NMC-Rollen- oder NMC-Benutzereinstellungen sehen können.
Additional Information
Die obigen Verfahren erfordern die Kenntnis des Distinguished Name (DN) einer AD-Gruppe, zu der AD-Benutzer gehören. Dies kann von Ihrem AD-Administrator bestätigt werden, kann aber auch mit authc_config- und authc_mgmt-Befehlen auf dem NetWorker-Server erfasst werden. Um diese Informationen zu erfassen, müssen Sie auch den Mandanten und die Domain kennen, die für Ihre externen LDAP AD-Authentifizierungen konfiguriert wurden:
1) Melden Sie sich beim NetWorker-Server an und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
2) Überprüfen Sie, ob ein Mandant konfiguriert wurde (in den meisten Fällen wird der Standardwert verwendet):
3) Sobald Sie den Mandantennamen haben, können Sie den folgenden Befehl ausführen, um LDAP AD-Gruppen für einen bestimmten AD-Benutzer abzufragen:
Beispiel:
1) Melden Sie sich beim NetWorker-Server an und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
2) Überprüfen Sie, ob ein Mandant konfiguriert wurde (in den meisten Fällen wird der Standardwert verwendet):
authc_config -u Administrator -p Kennwort -e find-all-tenants
Hinweis: Das angegebene Konto ist das NetWorker-Administratorkonto/-Passwort.
Beispiel:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Hinweis: Geben Sie den Mandantennamen an, der aus dem Befehl in Schritt 2 erfasst wurde. Der Domainname muss mit der Art und Weise übereinstimmen, wie er bei der Konfiguration der externen LDAP AD-Authentifizierung angegeben wurde. nicht unbedingt die Domain, wie sie in einer DNS-Abfrage angezeigt wird. Geben Sie den Domainnamen wie bei der Anmeldung beim NMC an. Geben Sie einen AD-Benutzer für den Benutzernamen an.
Beispiel:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Aus dieser Ausgabe sollten Sie jetzt den vollständigen DN-Namen der AD-Gruppe haben, der Sie Berechtigungen hinzufügen möchten. Dies kann kopiert und in die Felder "Externe Rollen" in den NMC-Rollen und den Benutzergruppen des NetWorker-Servers eingefügt werden. Sie kann auch im Befehl FULL_CONTROL Permissions verwendet werden.
authc_config und authc_mgmt sind sehr nützliche Befehle zum Testen/Konfigurieren der externen Authentifizierung. Um alle verfügbaren Optionen anzuzeigen, führen Sie die Befehle eigenständig ohne Flags/Switches aus.
authc_config und authc_mgmt sind sehr nützliche Befehle zum Testen/Konfigurieren der externen Authentifizierung. Um alle verfügbaren Optionen anzuzeigen, führen Sie die Befehle eigenständig ohne Flags/Switches aus.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.