NetWorker: AD/LDAP-gebruiker kan NMC-gebruikers of NMC-rollen 'Unable to get user information from authentication service [Access is Denied]' niet zien
Summary: U kunt zich aanmelden bij de NMC met een LDAP AD-gebruiker, maar u kunt NMC-rollen of NMC-gebruikers niet weergeven. De foutmelding "Unable to get user information from authentication service [Access is Denied]" wordt weergegeven. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
U kunt zich aanmelden bij de NMC met een LDAP AD-gebruiker, maar u kunt NMC-rollen of NMC-gebruikers niet weergeven. De foutmelding "Unable to get user information from authentication service [Access is Denied]" wordt weergegeven.
Cause
Onderwerp 1: De DN van de AD-groep is niet gespecificeerd in de NMC-rollen "Console Security Administrator" en/of de "Beveiligingsbeheerders"
van de NetWorker-servergebruikersgroep probleem 2: De externe verificatieconfiguratie van NetWorker heeft een onjuist of ontbrekend kenmerk "Config User Group".
Onderwerp 3: De AD-groep DN die niet is verleend FULL_CONTROL beheerdersbevoegdheden.
van de NetWorker-servergebruikersgroep probleem 2: De externe verificatieconfiguratie van NetWorker heeft een onjuist of ontbrekend kenmerk "Config User Group".
Onderwerp 3: De AD-groep DN die niet is verleend FULL_CONTROL beheerdersbevoegdheden.
Resolution
Onderwerp 1:
1) Meld u aan bij de NMC als het standaard NetWorker Administrator-account .
2) Ga naar Setup-->Users and Roles-->NMC Roles.
3) Open de eigenschappen van de rollen Console Security Administrator en Console Application Administrator.
4) In het veld Externe rollen moet de Distinguished Name (DN) van de AD-groep(en) voor NetWorker-beheerders worden opgegeven.
Opmerking: Als u niet zeker weet of de DN wordt opgegeven, raadpleegt u het veld Notes voor stappen die kunnen worden voltooid voor het verzamelen van deze informatie. De AD-groep-DN's moeten ook worden toegevoegd aan de velden externe rollen van de overeenkomstige NetWorker-server. Maak verbinding met de NetWorker-server vanuit de NMC als het standaard NetWorker Administrator-account en ga naar Server-gebruikersgroepen>. Zonder deze optie kunt u zich aanmelden bij de NMC als AD-gebruiker, maar geen verbinding maken met de NetWorker-server.
Voorbeeld:
In dit geval is het kenmerk 'Config User Group Attribute' leeg. Voor OP AD gebaseerde verificatie moet dit veld worden ingesteld op memberOf. Als dit veld leeg is of een andere waarde heeft, voert u het volgende in:
2) Voer het volgende uit om deze waarde bij te werken via de opdracht:
1) Meld u aan bij de NMC als het standaard NetWorker Administrator-account .
2) Ga naar Setup-->Users and Roles-->NMC Roles.
3) Open de eigenschappen van de rollen Console Security Administrator en Console Application Administrator.
4) In het veld Externe rollen moet de Distinguished Name (DN) van de AD-groep(en) voor NetWorker-beheerders worden opgegeven.
Opmerking: Als u niet zeker weet of de DN wordt opgegeven, raadpleegt u het veld Notes voor stappen die kunnen worden voltooid voor het verzamelen van deze informatie. De AD-groep-DN's moeten ook worden toegevoegd aan de velden externe rollen van de overeenkomstige NetWorker-server. Maak verbinding met de NetWorker-server vanuit de NMC als het standaard NetWorker Administrator-account en ga naar Server-gebruikersgroepen>. Zonder deze optie kunt u zich aanmelden bij de NMC als AD-gebruiker, maar geen verbinding maken met de NetWorker-server.
Voorbeeld:
5) Zodra de DN van de AD-groep(en) van uw NetWorker-administrator aan beide rollen is toegevoegd. Meld u aan bij de NMC als ad-gebruiker die tot de zojuist toegevoegde groep behoort en controleer of u de NMC-gebruikers- en NMC-rollenconfiguraties kunt zien.
Onderwerp 2:
1) Controleer uw bestaande configuratie met behulp van uw configuratie-ID:
Onderwerp 2:
1) Controleer uw bestaande configuratie met behulp van uw configuratie-ID:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Opmerking: Het account dat wordt opgegeven, is het NetWorker Administrator-account/wachtwoord. Vervang # door de configuratie-ID die in de eerste opdracht is verzameld.
Voorbeeld:
Voorbeeld:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
In dit geval is het kenmerk 'Config User Group Attribute' leeg. Voor OP AD gebaseerde verificatie moet dit veld worden ingesteld op memberOf. Als dit veld leeg is of een andere waarde heeft, voert u het volgende in:
2) Voer het volgende uit om deze waarde bij te werken via de opdracht:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Opmerking: In sommige systemen kunt u afzonderlijke waarden niet bijwerken. Als u een foutmelding krijgt met de bovenstaande opdracht, wordt aanbevolen om de scriptsjablonen te gebruiken onder:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Opmerking: in het bovenstaande Windows-pad wordt ervan uitgegaan dat het standaard NetWorker-installatiepad is gebruikt.
Opmerking: in het bovenstaande Windows-pad wordt ervan uitgegaan dat het standaard NetWorker-installatiepad is gebruikt.
Als het script wordt gebruikt, kunt u '-e add-config' wijzigen in '-e update-config' en de rest van de velden invullen volgens uw omgeving. Het kenmerk Config User Group moet worden ingesteld op "-D "config-user-group-attr=memberOf"" in de scriptsjabloon (standaard). Zodra de configuratie is bijgewerkt, ziet u de wijzigingen met: authc_config -u Administrator -p wachtwoord -e find-config -D config-id=#
Voorbeeld:
Voorbeeld:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Meld u af bij de NMC en meld u weer aan bij uw AD-gebruiker
Onderwerp 3:
In sommige gevallen krijgt u zelfs na het toevoegen van de AD-groep DN('s) aan de velden Externe rollen van Console Security Administrator en Console Application Administrator nog steeds de foutmelding "Access Denied". FULL_CONTROL machtigingen kunnen worden toegevoegd aan de AD-groep(en) van NetWorker administrators.
1) Open een opdrachtprompt met verhoogde bevoegdheid op de NetWorker server
2) Bevestig welke AD-groepen FULL_CONTROL machtigingen hebben ingesteld:
In sommige gevallen krijgt u zelfs na het toevoegen van de AD-groep DN('s) aan de velden Externe rollen van Console Security Administrator en Console Application Administrator nog steeds de foutmelding "Access Denied". FULL_CONTROL machtigingen kunnen worden toegevoegd aan de AD-groep(en) van NetWorker administrators.
1) Open een opdrachtprompt met verhoogde bevoegdheid op de NetWorker server
2) Bevestig welke AD-groepen FULL_CONTROL machtigingen hebben ingesteld:
authc_config -u Administrator -p wachtwoord -e find-all-permissions
Opmerking: Het account dat wordt opgegeven, is het NetWorker Administrator-account/wachtwoord.
3)Als de DN van de NetWorker-beheerdersgroep niet is opgegeven, voert u de volgende opdracht uit:
3)Als de DN van de NetWorker-beheerdersgroep niet is opgegeven, voert u de volgende opdracht uit:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Opmerking: De machtigingsgroep-dn moet de volledige DN bevatten van de groep waartoe u de machtigingen wilt toevoegen. Als u niet zeker bent van de groep DN, raadpleegt u het veld Opmerkingen voor het verzamelen van deze informatie.
Voorbeeld:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Nadat de machtiging is toegevoegd, kunt u de wijzigingen bevestigen door de opdracht find-all-permissions uit te voeren vanaf stap 2.
5) Meld u aan bij de NMC met een AD-gebruiker die deel uitmaakt van de groep waarvoor u zojuist machtigingen hebt toegevoegd en bevestig of u de NMC-rollen of NMC-gebruikersinstellingen kunt zien.
Additional Information
Voor de bovenstaande procedures moet u de Distinguished Name (DN) kennen van een AD-groep waartoe AD-gebruikers behoren. Dit kan worden bevestigd door uw AD-beheerder, maar kan ook worden verzameld met behulp van authc_config- en authc_mgmt-opdrachten op de NetWorker-server. Om deze informatie te verzamelen, moet u ook weten wat de tenant en het domein zijn geconfigureerd voor uw LDAP AD externe verificaties:
1) Meld u aan bij de NetWorker-server en open een opdrachtprompt met verhoogde bevoegdheid.
2) Controleer of een tenant is geconfigureerd (in de meeste gevallen wordt de standaardinstelling gebruikt):
3) Zodra u de tenantnaam hebt, kunt u de volgende opdracht uitvoeren om LDAP AD-groepen op te vragen voor een specifieke AD-gebruiker:
Voorbeeld:
1) Meld u aan bij de NetWorker-server en open een opdrachtprompt met verhoogde bevoegdheid.
2) Controleer of een tenant is geconfigureerd (in de meeste gevallen wordt de standaardinstelling gebruikt):
authc_config -u Administrator -p wachtwoord -e find-all-tenants
Opmerking: Het account dat wordt opgegeven, is het NetWorker Administrator-account/wachtwoord.
Voorbeeld:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Opmerking: Geef de tenantnaam op die is verzameld uit de opdracht in stap 2. De domeinnaam moet overeenkomen met hoe deze is opgegeven bij het configureren van externe LDAP AD-authenticatie; niet noodzakelijkerwijs het domein zoals het wordt weergegeven in een DNS-query. Geef de domeinnaam op zoals u dat zou doen bij het aanmelden bij de NMC. Geef een AD-gebruiker op voor de gebruikersnaam.
Voorbeeld:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Vanaf deze uitvoer moet u nu de volledige DN-naam hebben van de AD-groep waartoe u machtigingen wilt toevoegen. Dit kan worden gekopieerd en geplakt in de velden Externe rollen in de NMC-rollen en de gebruikersgroepen van de NetWorker-server. Het kan ook worden gebruikt in de opdracht FULL_CONTROL machtigingen.
authc_config en authc_mgmt zijn zeer nuttige opdrachten voor het testen/configureren van externe authenticatie. Als u alle beschikbare opties wilt zien, voert u de opdrachten zelfstandig uit zonder vlaggen/switches.
authc_config en authc_mgmt zijn zeer nuttige opdrachten voor het testen/configureren van externe authenticatie. Als u alle beschikbare opties wilt zien, voert u de opdrachten zelfstandig uit zonder vlaggen/switches.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.