NetWorker: El usuario de AD/LDAP no puede ver los usuarios de NMC ni las funciones de NMC "Unable to get user information from authentication service [Access is Denied]"
Summary: Puede iniciar sesión en NMC con un usuario de AD de LDAP, pero no puede ver las funciones de NMC ni los usuarios de NMC. Aparece el mensaje de error "Unable to get user information from authentication service [Access is Denied]". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Puede iniciar sesión en NMC con un usuario de AD de LDAP, pero no puede ver las funciones de NMC ni los usuarios de NMC. Aparece el mensaje de error "Unable to get user information from authentication service [Access is Denied]".
Cause
Problema 1: El DN del grupo de AD no se especifica en las funciones de NMC "Administrador de seguridad de la consola" o "Administradores de seguridad"
del grupo de usuarios del servidor netWorker. Problema 2: La configuración de autenticación externa de NetWorker tiene un "Atributo de grupo de usuarios de configuración" incorrecto o faltante.
Problema 3: El DN del grupo de AD que no se ha otorgado FULL_CONTROL privilegios administrativos.
del grupo de usuarios del servidor netWorker. Problema 2: La configuración de autenticación externa de NetWorker tiene un "Atributo de grupo de usuarios de configuración" incorrecto o faltante.
Problema 3: El DN del grupo de AD que no se ha otorgado FULL_CONTROL privilegios administrativos.
Resolution
Problema 1:
1) Inicie sesión en NMC como la cuenta de administrador predeterminada de NetWorker .
2) Vaya a Setup-->Users and Roles-->NMC Roles.
3) Abra las propiedades de las funciones Administrador de seguridad de la consola y Administrador de aplicaciones de consola.
4) En el campo Funciones externas, se debe especificar el nombre distintivo (DN) de los grupos de AD para los administradores de NetWorker.
Nota: Si no está seguro del DN especificado, consulte el campo Notas para conocer los pasos que se pueden completar para recopilar esta información. Los DN del grupo de AD también se deben agregar a los campos De roles externos del grupo de usuarios del servidor NetWorker correspondiente. Conéctese al servidor de NetWorker desde NMC como la cuenta predeterminada de administrador de NetWorker y vaya a Server-->User Groups. Sin esto, podrá iniciar sesión en NMC como usuario de AD, pero no conectarse al servidor de NetWorker.
Ejemplo:
En esta instancia, el campo "Config User Group Attribute" está en blanco. Para la autenticación basada en AD, este campo se debe configurar en memberOf. Si este campo está en blanco o tiene algún otro valor, complete lo siguiente:
2) Para actualizar este valor mediante el comando, ejecute lo siguiente:
1) Inicie sesión en NMC como la cuenta de administrador predeterminada de NetWorker .
2) Vaya a Setup-->Users and Roles-->NMC Roles.
3) Abra las propiedades de las funciones Administrador de seguridad de la consola y Administrador de aplicaciones de consola.
4) En el campo Funciones externas, se debe especificar el nombre distintivo (DN) de los grupos de AD para los administradores de NetWorker.
Nota: Si no está seguro del DN especificado, consulte el campo Notas para conocer los pasos que se pueden completar para recopilar esta información. Los DN del grupo de AD también se deben agregar a los campos De roles externos del grupo de usuarios del servidor NetWorker correspondiente. Conéctese al servidor de NetWorker desde NMC como la cuenta predeterminada de administrador de NetWorker y vaya a Server-->User Groups. Sin esto, podrá iniciar sesión en NMC como usuario de AD, pero no conectarse al servidor de NetWorker.
Ejemplo:
5) Una vez que se haya agregado el DN de los grupos de AD del administrador de NetWorker a ambas funciones. Inicie sesión en NMC como un usuario de AD que pertenezca al grupo recién agregado y confirme si puede ver las configuraciones de usuarios de NMC y funciones de NMC.
Problema 2:
1) Compruebe la configuración existente mediante su ID de configuración:
Problema 2:
1) Compruebe la configuración existente mediante su ID de configuración:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Nota: La cuenta que se especifica es la cuenta/contraseña del administrador de NetWorker. Reemplace # por el ID de configuración recopilado en el primer comando.
Ejemplo:
Ejemplo:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
En esta instancia, el campo "Config User Group Attribute" está en blanco. Para la autenticación basada en AD, este campo se debe configurar en memberOf. Si este campo está en blanco o tiene algún otro valor, complete lo siguiente:
2) Para actualizar este valor mediante el comando, ejecute lo siguiente:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Nota: En algunos sistemas, no podrá actualizar valores individuales. Si recibe un error con el comando anterior, se recomienda usar las plantillas de script que se encuentran en:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Archivos de programa\EMC NetWorker\nsr\authc-server\bin
Nota: La ruta de Windows anterior supone que se utilizó la ruta de instalación predeterminada de NetWorker.
Nota: La ruta de Windows anterior supone que se utilizó la ruta de instalación predeterminada de NetWorker.
Si se utiliza el script, puede cambiar "-e add-config" a "-e update-config" y completar el resto de los campos según su ambiente. Config User Group Attribute se debe configurar en "-D "config-user-group-attr=memberOf" en la plantilla de script (de manera predeterminada). Una vez que se haya actualizado la configuración, debe ver los cambios con lo siguiente: authc_config -u Administrator -p password -e find-config -D config-id=#
Ejemplo:
Ejemplo:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Cierre sesión en NMC y vuelva a iniciar sesión con su usuario de AD
Problema 3:
En algunos casos, incluso después de agregar los DN del grupo de AD a los campos Funciones externas de Administrador de seguridad de la consola y Administrador de aplicaciones de la consola, seguirá teniendo el error "Acceso denegado". FULL_CONTROL permisos se pueden agregar a los grupos de AD de administradores de NetWorker.
1) Abra un símbolo del sistema con privilegios elevados en el servidor
de NetWorker 2) Confirme qué grupos de AD tienen FULL_CONTROL permisos configurados:
En algunos casos, incluso después de agregar los DN del grupo de AD a los campos Funciones externas de Administrador de seguridad de la consola y Administrador de aplicaciones de la consola, seguirá teniendo el error "Acceso denegado". FULL_CONTROL permisos se pueden agregar a los grupos de AD de administradores de NetWorker.
1) Abra un símbolo del sistema con privilegios elevados en el servidor
de NetWorker 2) Confirme qué grupos de AD tienen FULL_CONTROL permisos configurados:
authc_config -u Administrator -p password -e find-all-permissions
Nota: La cuenta que se especifica es la cuenta/contraseña del administrador de NetWorker.
3)Si no se especifica el DN del grupo de administradores de NetWorker, ejecute el siguiente comando:
3)Si no se especifica el DN del grupo de administradores de NetWorker, ejecute el siguiente comando:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Nota: Permission-group-dn debe contener el DN completo del grupo al que desea agregar los permisos. Si no está seguro del DN del grupo, consulte el campo Notes para recopilar esta información.
Ejemplo:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Una vez que se agregó el permiso, puede confirmar los cambios mediante la ejecución del comando find-all-permissions del paso 2.
5) Inicie sesión en NMC con un usuario de AD que pertenezca al grupo al que acaba de agregar permisos y confirme si puede ver la configuración de funciones de NMC o usuarios de NMC.
Additional Information
Los procedimientos anteriores requieren conocer el nombre distintivo (DN) de un grupo de AD al que pertenecen los usuarios de AD. El administrador de AD puede confirmar esto, pero también se puede recopilar mediante los comandos authc_config y authc_mgmt en el servidor de NetWorker. Para recopilar esta información, también deberá conocer el grupo de usuarios y el dominio que se configuraron para las autenticaciones externas de AD de LDAP:
1) Inicie sesión en el servidor de NetWorker y abra un símbolo del sistema con privilegios elevados.
2) Confirme si se configuró un grupo de usuarios (en la mayoría de los casos se utiliza el valor predeterminado):
3) Una vez que tenga el nombre del grupo de usuarios, puede ejecutar el siguiente comando para consultar grupos de AD de LDAP para un usuario de AD específico:
Ejemplo:
1) Inicie sesión en el servidor de NetWorker y abra un símbolo del sistema con privilegios elevados.
2) Confirme si se configuró un grupo de usuarios (en la mayoría de los casos se utiliza el valor predeterminado):
authc_config -u Administrator -p password -e find-all-tenants
Nota: La cuenta que se especifica es la cuenta/contraseña del administrador de NetWorker.
Ejemplo:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Nota: Especifique el nombre del grupo de usuarios que se recopiló del comando en el paso 2. El nombre de dominio debe coincidir con la forma en que se especificó al configurar la autenticación externa de AD de LDAP; no necesariamente el dominio, ya que aparecería en una consulta de DNS. Especifique el nombre de dominio como lo haría al iniciar sesión en NMC. Especifique un usuario de AD para el nombre de usuario.
Ejemplo:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
A partir de esta salida, ahora debe tener el nombre DN completo del grupo de AD al que desea agregar permisos. Esto se puede copiar y pegar en los campos Funciones externas en las funciones de NMC y los grupos de usuarios del servidor de NetWorker. También se puede utilizar en el comando de permisos de FULL_CONTROL.
authc_config y authc_mgmt son comandos muy útiles para probar/configurar la autenticación externa. Para ver todas las opciones disponibles, ejecute los comandos por su cuenta sin indicadores/switches.
authc_config y authc_mgmt son comandos muy útiles para probar/configurar la autenticación externa. Para ver todas las opciones disponibles, ejecute los comandos por su cuenta sin indicadores/switches.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.