NetWorker: Użytkownik AD/LDAP nie widzi użytkowników NMC lub ról NMC "Unable to get user information from authentication service [Access is Denied]" (Nie można uzyskać informacji o użytkowniku z usługi uwierzytelniania [odmowa dostępu])
Summary: Możesz zalogować się do NMC przy użyciu użytkownika AD LDAP, ale nie można wyświetlić ról NMC lub użytkowników NMC. Zostanie wyświetlony komunikat o błędzie "Unable to get user information from authentication service [Access is Denied]" (Nie można uzyskać informacji o użytkowniku z usługi uwierzytelniania [odmowa dostępu]). ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Możesz zalogować się do NMC przy użyciu użytkownika AD LDAP, ale nie można wyświetlić ról NMC lub użytkowników NMC. Zostanie wyświetlony komunikat o błędzie "Unable to get user information from authentication service [Access is Denied]" (Nie można uzyskać informacji o użytkowniku z usługi uwierzytelniania [odmowa dostępu]).
Cause
Zagadnienie 1: Nazwa DN grupy AD nie jest określona w rolach NMC "Console Security Administrator" i/lub "Security Administrators"
grupy użytkowników serwera NetWorker, problem 2: Konfiguracja zewnętrznego uwierzytelniania NetWorker ma nieprawidłowy lub brak "Config User Group Attribute".
Zagadnienie 3: Nazwa DN grupy AD, która nie otrzymała uprawnień administracyjnych FULL_CONTROL.
grupy użytkowników serwera NetWorker, problem 2: Konfiguracja zewnętrznego uwierzytelniania NetWorker ma nieprawidłowy lub brak "Config User Group Attribute".
Zagadnienie 3: Nazwa DN grupy AD, która nie otrzymała uprawnień administracyjnych FULL_CONTROL.
Resolution
Zagadnienie 1:
1) Zaloguj się do NMC jako domyślne konto administratora NetWorker .
2) Przejdź do opcji Setup -->Users and Roles-->NMC Roles.
3) Otwórz właściwości ról Console Security Administrator i Console Application Administrator.
4) W polu Role zewnętrzne należy określić nazwę wyróżniającą grupy AD dla administratorów NetWorker.
Uwaga: Jeśli nie wiesz, czy nazwa domeny jest określona, sprawdź w polu Uwagi kroki, które można wykonać w celu zebrania tych informacji. Numery DNs grupy AD należy również dodać do odpowiednich pól role zewnętrzne grupy użytkowników serwera NetWorker. Połącz się z serwerem NetWorker z NMC jako domyślne konto administratora NetWorker i przejdź do grupy server-user> groups. Bez tego można zalogować się do NMC jako użytkownik usługi AD, ale nie nawiązać połączenia z serwerem NetWorker.
Przykład:
W tym przypadku wartość "Config User Group Attribute" jest pusta. W przypadku uwierzytelniania opartego na UD to pole powinno być ustawione na memberOf. Jeśli to pole jest puste lub ma inną wartość, wykonaj następujące czynności:
2) Aby zaktualizować tę wartość za pomocą polecenia, uruchom następujące polecenie:
1) Zaloguj się do NMC jako domyślne konto administratora NetWorker .
2) Przejdź do opcji Setup -->Users and Roles-->NMC Roles.
3) Otwórz właściwości ról Console Security Administrator i Console Application Administrator.
4) W polu Role zewnętrzne należy określić nazwę wyróżniającą grupy AD dla administratorów NetWorker.
Uwaga: Jeśli nie wiesz, czy nazwa domeny jest określona, sprawdź w polu Uwagi kroki, które można wykonać w celu zebrania tych informacji. Numery DNs grupy AD należy również dodać do odpowiednich pól role zewnętrzne grupy użytkowników serwera NetWorker. Połącz się z serwerem NetWorker z NMC jako domyślne konto administratora NetWorker i przejdź do grupy server-user> groups. Bez tego można zalogować się do NMC jako użytkownik usługi AD, ale nie nawiązać połączenia z serwerem NetWorker.
Przykład:
5) Po dodaniu nazwy DN grupy AD administratora NetWorker do obu ról. Zaloguj się do NMC jako użytkownik usługi AD należący do nowo dodanej grupy i sprawdź, czy można wyświetlić konfiguracje użytkowników NMC i ról NMC.
Zagadnienie 2:
1) Sprawdź istniejącą konfigurację przy użyciu identyfikatora konfiguracji:
Zagadnienie 2:
1) Sprawdź istniejącą konfigurację przy użyciu identyfikatora konfiguracji:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Uwaga: Podana nazwa konta to konto/hasło administratora NetWorker. Zastąp # identyfikatorem konfiguracji zebranym w pierwszym poleceniu.
Przykład:
Przykład:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
W tym przypadku wartość "Config User Group Attribute" jest pusta. W przypadku uwierzytelniania opartego na UD to pole powinno być ustawione na memberOf. Jeśli to pole jest puste lub ma inną wartość, wykonaj następujące czynności:
2) Aby zaktualizować tę wartość za pomocą polecenia, uruchom następujące polecenie:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Uwaga: W niektórych systemach nie będzie można aktualizować indywidualnych wartości. W przypadku wyświetlenia błędu przy użyciu powyższego polecenia zaleca się korzystanie z szablonów skryptów znajdujących się w obszarze:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Uwaga: powyższa ścieżka systemu Windows zakłada, że użyto domyślnej ścieżki instalacji NetWorker.
Uwaga: powyższa ścieżka systemu Windows zakłada, że użyto domyślnej ścieżki instalacji NetWorker.
Jeśli skrypt jest używany, można zmienić ustawienie "-e add-config" na "-e update-config" i wypełnić pozostałe pola zgodnie ze swoim środowiskiem. Atrybut grupy użytkownika konfiguracji powinien być ustawiony na "-D "config-user-group-attr=memberOf"" w szablonie skryptu (domyślnie). Po zaktualizowaniu konfiguracji powinny zostać wyświetlone następujące zmiany: authc_config -u Administrator -p hasło -e find-config -D config-id=#
Przykład:
Przykład:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Wyloguj się z NMC i zaloguj się ponownie z użytkownikiem AD
Zagadnienie 3:
W niektórych przypadkach nawet po dodaniu numerów DN grupy AD do pól Role zewnętrzne administratora zabezpieczeń konsoli i administratora aplikacji konsoli nadal będzie wyświetlany błąd "Odmowa dostępu". FULL_CONTROL uprawnienia można dodać do grup AD administratorów NetWorker.
1) Otwórz wiersz polecenia z podwyższonym poziomem uprawnień na serwerze
NetWorker 2) Sprawdź, które grupy AD mają FULL_CONTROL uprawnienia:
W niektórych przypadkach nawet po dodaniu numerów DN grupy AD do pól Role zewnętrzne administratora zabezpieczeń konsoli i administratora aplikacji konsoli nadal będzie wyświetlany błąd "Odmowa dostępu". FULL_CONTROL uprawnienia można dodać do grup AD administratorów NetWorker.
1) Otwórz wiersz polecenia z podwyższonym poziomem uprawnień na serwerze
NetWorker 2) Sprawdź, które grupy AD mają FULL_CONTROL uprawnienia:
authc_config -u Administrator -p hasło -e find-all-permissions
Uwaga: Podana nazwa konta to konto/hasło administratora NetWorker.
3)Jeśli nazwa domeny grupy administratorów NetWorker nie została określona, uruchom następujące polecenie:
3)Jeśli nazwa domeny grupy administratorów NetWorker nie została określona, uruchom następujące polecenie:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Uwaga: Nazwa DN grupy uprawnień powinna zawierać pełną nazwę DN grupy, do której chcesz dodać uprawnienia. Jeśli nie masz pewności co do nazwy DN grupy, zapoznaj się z polem Uwagi, aby zebrać te informacje.
Przykład:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Po dodaniu uprawnienia można potwierdzić zmiany, uruchamiając polecenie find-all-permissions w kroku 2.
5) Zaloguj się do NMC z użytkownikiem usługi AD należącym do grupy, do której właśnie dodano uprawnienia, i sprawdź, czy widzisz ustawienia ról NMC lub użytkowników NMC.
Additional Information
Powyższe procedury wymagają znajomości nazwy wyróżniającej (DN) grupy AD, do której należą użytkownicy AD. Może to potwierdzić administrator usługi AD, ale można je również zbierać za pomocą poleceń authc_config i authc_mgmt na serwerze NetWorker. Aby zebrać te informacje, należy także znać dzierżawcę i domenę skonfigurowaną do uwierzytelniania zewnętrznego LDAP AD:
1) Zaloguj się do serwera NetWorker i otwórz wiersz polecenia z podwyższonym poziomem uprawnień.
2) Sprawdź, czy dzierżawca został skonfigurowany (w większości przypadków używane jest ustawienie domyślne):
3) Po uzyskaniu nazwy dzierżawcy można uruchomić następujące polecenie, aby zbadać grupy AD LDAP dla określonego użytkownika usługi AD:
Przykład:
1) Zaloguj się do serwera NetWorker i otwórz wiersz polecenia z podwyższonym poziomem uprawnień.
2) Sprawdź, czy dzierżawca został skonfigurowany (w większości przypadków używane jest ustawienie domyślne):
authc_config -u Administrator -p hasło -e find-all-tenants
Uwaga: Podana nazwa konta to konto/hasło administratora NetWorker.
Przykład:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p hasło -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "nazwa_użytkownika=ad-user"
Uwaga: Określ nazwę dzierżawcy, która została zebrana z polecenia w kroku 2. Nazwa domeny musi być zgodna ze sposobem jej określania podczas konfigurowania zewnętrznego uwierzytelniania LDAP AD; niekoniecznie domena, jaka jest wyświetlana w zapytaniu DNS. Określ nazwę domeny w sposób wskazany podczas logowania do NMC. Określ użytkownika AD dla nazwy użytkownika.
Przykład:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Z tego wyniku powinna być teraz pełna nazwa nazwy domeny grupy AD, do której chcesz dodać uprawnienia. Można je skopiować i wkleić do pól Role zewnętrzne w grupach użytkowników serwera NMC i NetWorker. Można go również użyć w poleceniu uprawnień FULL_CONTROL.
authc_config i authc_mgmt są bardzo przydatnymi poleceniami do testowania/konfigurowania uwierzytelniania zewnętrznego. Aby wyświetlić wszystkie dostępne opcje, uruchom polecenia samodzielnie bez flag/przełączników.
authc_config i authc_mgmt są bardzo przydatnymi poleceniami do testowania/konfigurowania uwierzytelniania zewnętrznego. Aby wyświetlić wszystkie dostępne opcje, uruchom polecenia samodzielnie bez flag/przełączników.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.