NetWorker: O usuário do AD/LDAP não consegue ver usuários do NMC ou funções do NMC "Unable to get user information from authentication service [Access is Denied]"
Summary: Você pode fazer log-in no NMC com um usuário do LDAP AD, mas não pode visualizar funções do NMC ou usuários do NMC. A mensagem de erro "Unable to get user information from authentication service [Access is Denied]" é exibida. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Você pode fazer log-in no NMC com um usuário do LDAP AD, mas não pode visualizar funções do NMC ou usuários do NMC. A mensagem de erro "Unable to get user information from authentication service [Access is Denied]" é exibida.
Cause
Problema 1: O DN do grupo do AD não é especificado nas funções do NMC "Console Security Administrator" e/ou nos "Administradores de segurança"
do grupo de usuários do servidor do NetWorker Problema 2: A configuração de autenticação externa do NetWorker tem um "Atributo de grupo de usuários de configuração" incorreto ou ausente.
Problema 3: O DN do grupo do AD que não foi concedido FULL_CONTROL privilégios administrativos.
do grupo de usuários do servidor do NetWorker Problema 2: A configuração de autenticação externa do NetWorker tem um "Atributo de grupo de usuários de configuração" incorreto ou ausente.
Problema 3: O DN do grupo do AD que não foi concedido FULL_CONTROL privilégios administrativos.
Resolution
Problema 1:
1) Faça log-in no NMC como a conta padrão de administrador do NetWorker.
2) Vá para Setup -->Users and Roles -->NMC Roles.
3) Abra as propriedades das funções console Security Administrator e Console Application Administrator.
4) No campo Funções externas, o nome distinto (DN) dos grupos do AD para administradores do NetWorker deve ser especificado.
Nota: Se você não tiver certeza de que o DN está sendo especificado, consulte o campo Notas para obter as etapas que podem ser concluídas para coletar essas informações. Os DNs do grupo do AD também devem ser adicionados aos campos de funções externas do grupo de usuários correspondentes do servidor do NetWorker. Conecte-se ao servidor do NetWorker a partir do NMC como a conta padrão de administrador do NetWorker e vá para Server-->User Groups. Sem isso, você poderá fazer log-in no NMC como um usuário do AD, mas não se conectar ao servidor do NetWorker.
Exemplo:
Nesse caso, o "Config User Group Attribute" está em branco. Para autenticação baseada em AD, este campo deve ser definido como memberOf. Se este campo estiver em branco ou tiver algum outro valor, conclua o seguinte:
2) Para atualizar esse valor por meio do comando, execute o seguinte:
1) Faça log-in no NMC como a conta padrão de administrador do NetWorker.
2) Vá para Setup -->Users and Roles -->NMC Roles.
3) Abra as propriedades das funções console Security Administrator e Console Application Administrator.
4) No campo Funções externas, o nome distinto (DN) dos grupos do AD para administradores do NetWorker deve ser especificado.
Nota: Se você não tiver certeza de que o DN está sendo especificado, consulte o campo Notas para obter as etapas que podem ser concluídas para coletar essas informações. Os DNs do grupo do AD também devem ser adicionados aos campos de funções externas do grupo de usuários correspondentes do servidor do NetWorker. Conecte-se ao servidor do NetWorker a partir do NMC como a conta padrão de administrador do NetWorker e vá para Server-->User Groups. Sem isso, você poderá fazer log-in no NMC como um usuário do AD, mas não se conectar ao servidor do NetWorker.
Exemplo:
5) Depois que o DN do(s) grupo(s) de AD do administrador do NetWorker for adicionado às duas funções. Faça log-in no NMC como um usuário do AD que pertence ao grupo recém-adicionado e confirme se você consegue ver as configurações NMC Users e NMC Roles.
Problema 2:
1) Verifique a configuração existente usando seu ID de configuração:
Problema 2:
1) Verifique a configuração existente usando seu ID de configuração:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Nota: A conta que está sendo especificada é a conta/senha do administrador do NetWorker. Substitua # pelo ID de configuração coletado no primeiro comando.
Exemplo:
Exemplo:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
Nesse caso, o "Config User Group Attribute" está em branco. Para autenticação baseada em AD, este campo deve ser definido como memberOf. Se este campo estiver em branco ou tiver algum outro valor, conclua o seguinte:
2) Para atualizar esse valor por meio do comando, execute o seguinte:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Nota: Em alguns sistemas, você não poderá atualizar valores individuais. Se você receber um erro com o comando acima, é recomendável usar os modelos de script encontrados em:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Arquivos de Programas\EMC NetWorker\nsr\authc-server\bin
Nota: o caminho acima do Windows pressupõe que o caminho de instalação padrão do NetWorker foi usado.
Nota: o caminho acima do Windows pressupõe que o caminho de instalação padrão do NetWorker foi usado.
Se o script estiver sendo usado, você poderá alterar "-e add-config" para "-e update-config" e preencher o restante dos campos de acordo com seu ambiente. Config User Group Attribute deve ser definido como "-D "config-user-group-attr=memberOf"" no modelo de script (por padrão). Depois que a configuração for atualizada, você deverá ver as alterações com: authc_config -u Administrator -p password -e find-config -D config-id=#
Exemplo:
Exemplo:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Faça log-out do NMC e faça log-in novamente com o usuário do AD
Problema 3:
Em alguns casos, mesmo depois de adicionar os DN(s) do grupo do AD aos campos External Roles (Funções externas) do Console Security Administrator (Administrador de segurança do console) e console Application Administrator (Administrador de aplicativos do console), você ainda receberá o erro "Access Denied". FULL_CONTROL permissões podem ser adicionadas aos grupos do AD de administradores do NetWorker.
1) Abra um prompt de comando com privilégios elevados no servidor do NetWorker
2) Confirme quais grupos do AD FULL_CONTROL permissões estão definidas:
Em alguns casos, mesmo depois de adicionar os DN(s) do grupo do AD aos campos External Roles (Funções externas) do Console Security Administrator (Administrador de segurança do console) e console Application Administrator (Administrador de aplicativos do console), você ainda receberá o erro "Access Denied". FULL_CONTROL permissões podem ser adicionadas aos grupos do AD de administradores do NetWorker.
1) Abra um prompt de comando com privilégios elevados no servidor do NetWorker
2) Confirme quais grupos do AD FULL_CONTROL permissões estão definidas:
authc_config -u Administrator -p password -e find-all-permissions
Nota: A conta que está sendo especificada é a conta/senha do administrador do NetWorker.
3)Se o DN do grupo de administradores do NetWorker não for especificado, execute o seguinte comando:
3)Se o DN do grupo de administradores do NetWorker não for especificado, execute o seguinte comando:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Nota: O permission-group-dn deve conter o DN completo do grupo ao qual você deseja adicionar as permissões. Se você não tiver certeza do nome distinto do grupo, consulte o campo Notas para coletar essas informações.
Exemplo:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Depois que a permissão foi adicionada, você pode confirmar as alterações executando o comando find-all-permissions da etapa 2.
5) Faça log-in no NMC com um usuário do AD que pertence ao grupo ao qual você acabou de adicionar permissões e confirme se consegue ver as configurações de Funções do NMC ou Usuários do NMC.
Additional Information
Os procedimentos acima exigem saber o nome distinto (DN) de um grupo do AD ao qual os usuários do AD pertencem. Isso pode ser confirmado pelo administrador do AD, mas também pode ser coletado usando authc_config e authc_mgmt no servidor do NetWorker. Para coletar essas informações, você também precisará saber o tenant e o domínio que foi configurado para suas autenticações externas do LDAP AD:
1) Faça log-in no servidor do NetWorker e abra um prompt de comando com privilégios elevados.
2) Confirme se um tenant foi configurado (na maioria dos casos, o padrão é usado):
3) Depois de ter o nome do tenant, você pode executar o seguinte comando para consultar grupos do LDAP AD para um usuário específico do AD:
Exemplo:
1) Faça log-in no servidor do NetWorker e abra um prompt de comando com privilégios elevados.
2) Confirme se um tenant foi configurado (na maioria dos casos, o padrão é usado):
authc_config -u Administrator -p password -e find-all-tenants
Nota: A conta que está sendo especificada é a conta/senha do administrador do NetWorker.
Exemplo:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Nota: Especifique o nome do tenant que foi coletado do comando na etapa 2. O nome do domínio precisa corresponder à forma como foi especificado ao configurar a autenticação externa do LDAP AD; não necessariamente o domínio, pois ele aparecerá em uma consulta DNS. Especifique o nome do domínio como faria ao fazer log-in no NMC. Especifique um usuário do AD para o nome de usuário.
Exemplo:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
A partir desse resultado, agora você deve ter o nome completo do DN do grupo do AD ao qual deseja adicionar permissões. Isso pode ser copiado e colado nos campos Funções externas nas funções do NMC e nos grupos de usuários do servidor do NetWorker. Ele também pode ser usado no comando FULL_CONTROL permissions.
authc_config e authc_mgmt são comandos muito úteis para testar/configurar a autenticação externa. Para ver todas as opções disponíveis, execute os comandos por conta própria sem indicadores/switches.
authc_config e authc_mgmt são comandos muito úteis para testar/configurar a autenticação externa. Para ver todas as opções disponíveis, execute os comandos por conta própria sem indicadores/switches.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.