NetWorker. Пользователь AD/LDAP не может видеть пользователей NMC или роли NMC «Unable to get user information from authentication service [Access is Denied]»
Summary: Вы можете войти в NMC с помощью пользователя LDAP AD, но не могут просматривать роли NMC или пользователей NMC. Появится сообщение об ошибке «Unable to get user information from authentication service [Access is Denied]». ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Вы можете войти в NMC с помощью пользователя LDAP AD, но не могут просматривать роли NMC или пользователей NMC. Появится сообщение об ошибке «Unable to get user information from authentication service [Access is Denied]».
Cause
Вопрос 1. DN группы AD не указан в роли NMC «Console Security Administrator» и/или «Администраторы безопасности» группы пользователей сервера NetWorker
. Проблема 2. Конфигурация внешней аутентификации NetWorker имеет неверную или отсутствуют «Атрибут группы пользователей конфигурации».
Вопрос 3. DN группы AD, которая не FULL_CONTROL права администратора.
. Проблема 2. Конфигурация внешней аутентификации NetWorker имеет неверную или отсутствуют «Атрибут группы пользователей конфигурации».
Вопрос 3. DN группы AD, которая не FULL_CONTROL права администратора.
Resolution
Вопрос 1.
1) Войдите в NMC в качестве учетной записи администратора NetWorker по умолчанию.
2) Перейдите в раздел Setup -->Users and Roles -->NMC Roles.
3) Откройте свойства ролей администратора безопасности консоли и администратора приложения консоли.
4) В поле Внешние роли следует указать различающееся имя (DN) групп AD для администраторов NetWorker.
Примечание: Если вы не уверены в указанном доменном имя, см. поле Примечания для получения действий, которые можно выполнить для сбора этой информации. DNS группы AD также следует добавить в соответствующие поля « Внешние роли» группы пользователей сервера NetWorker. Подключитесь к серверу NetWorker из NMC в качестве учетной записи администратора NetWorker по умолчанию и перейдите к Server -->User Groups. Без этого вы сможете войти в NMC в качестве пользователя AD, но не подключиться к серверу NetWorker.
Примере:
В этом случае параметр «Config User Group Attribute» пуст. Для аутентификации на основе AD это поле должно быть установлено в значение memberOf. Если это поле пустое или имеет другое значение, выполните следующие действия:
2) Чтобы обновить это значение с помощью команды, выполните следующую команду:
1) Войдите в NMC в качестве учетной записи администратора NetWorker по умолчанию.
2) Перейдите в раздел Setup -->Users and Roles -->NMC Roles.
3) Откройте свойства ролей администратора безопасности консоли и администратора приложения консоли.
4) В поле Внешние роли следует указать различающееся имя (DN) групп AD для администраторов NetWorker.
Примечание: Если вы не уверены в указанном доменном имя, см. поле Примечания для получения действий, которые можно выполнить для сбора этой информации. DNS группы AD также следует добавить в соответствующие поля « Внешние роли» группы пользователей сервера NetWorker. Подключитесь к серверу NetWorker из NMC в качестве учетной записи администратора NetWorker по умолчанию и перейдите к Server -->User Groups. Без этого вы сможете войти в NMC в качестве пользователя AD, но не подключиться к серверу NetWorker.
Примере:
5) После добавления доменного имени группы AD администратора NetWorker в обе роли. Войдите в NMC в качестве пользователя AD, входящих в добавленную группу, и убедитесь, что вы можете просматривать конфигурации пользователей и ролей NMC.
Вопрос 2.
1) Проверьте существующую конфигурацию с помощью идентификатора конфигурации:
Вопрос 2.
1) Проверьте существующую конфигурацию с помощью идентификатора конфигурации:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Примечание.: Указанная учетная запись — это учетная запись/пароль администратора NetWorker. Замените # на идентификатор конфигурации, полученный в первой команде.
Примере:
Примере:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
В этом случае параметр «Config User Group Attribute» пуст. Для аутентификации на основе AD это поле должно быть установлено в значение memberOf. Если это поле пустое или имеет другое значение, выполните следующие действия:
2) Чтобы обновить это значение с помощью команды, выполните следующую команду:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Примечание.: В некоторых системах невозможно обновить отдельные значения. При обнаружении ошибки с помощью указанной выше команды рекомендуется использовать шаблоны сценариев, найденные в:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Примечание. Указанный выше путь к Windows предполагает, что использовался путь установки NetWorker по умолчанию.
Примечание. Указанный выше путь к Windows предполагает, что использовался путь установки NetWorker по умолчанию.
Если используется сценарий, можно изменить значение «-e add-config» на «-e update-config» и заполнить остальные поля в соответствии с вашей средой. Для атрибута группы пользователей конфигурации должно быть задано значение «-D "config-user-group-attr=memberOf" в шаблоне сценария (по умолчанию). После обновления конфигурации отобразится следующее: authc_config -u Administrator -p password -e find-config -D config-id=#
Примере:
Примере:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Выйдите из NMC и снова войдите с пользователем AD.
Вопрос 3.
В некоторых случаях даже после добавления DN группы AD в поля Внешние роли администратора безопасности консоли и администратора консольных приложений по-прежнему отображается ошибка «Отказано в доступе». FULL_CONTROL администраторам NetWorker можно добавлять разрешения AD.
1) Откройте командную строку с повышенными привилегиями на сервере NetWorker
. 2) Проверьте, какие группы AD имеют FULL_CONTROL для них установлены:
В некоторых случаях даже после добавления DN группы AD в поля Внешние роли администратора безопасности консоли и администратора консольных приложений по-прежнему отображается ошибка «Отказано в доступе». FULL_CONTROL администраторам NetWorker можно добавлять разрешения AD.
1) Откройте командную строку с повышенными привилегиями на сервере NetWorker
. 2) Проверьте, какие группы AD имеют FULL_CONTROL для них установлены:
authc_config -u Administrator -p password -e find-all-permissions
Примечание.: Указанная учетная запись — это учетная запись/пароль администратора NetWorker.
3)Если имя группы администраторов NetWorker не указано, выполните следующую команду:
3)Если имя группы администраторов NetWorker не указано, выполните следующую команду:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Примечание.: Группа разрешений-dn должна содержать полное доменное имя группы, к которой необходимо добавить разрешения. Если вы не уверены в том, что группа DN не определена, см. поле Примечания для сбора этой информации.
Пример.
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) После добавления разрешения можно подтвердить изменения, выполнив команду find-all-permissions из шага 2.
5) Войдите в NMC, используя пользователя AD из группы, который только что добавил разрешения, и убедитесь, что вы можете просмотреть роли NMC или параметры пользователей NMC.
Additional Information
Для выполнения описанных выше процедур необходимо знать различающееся имя (DN) группы AD, к которым принадлежат пользователи AD. Это может подтвердить администратор AD, но его также можно собрать с помощью команд authc_config и authc_mgmt на сервере NetWorker. Для сбора этой информации также необходимо знать клиент и домен, настроенные для внешних аутентификаций LDAP AD:
1) Войдите на сервер NetWorker и откройте командную строку с повышенными привилегиями.
2) Проверьте, настроен ли клиент (в большинстве случаев используется по умолчанию):
3) После получения имени клиента можно выполнить следующую команду для запроса групп LDAP AD для конкретного пользователя AD:
Примере:
1) Войдите на сервер NetWorker и откройте командную строку с повышенными привилегиями.
2) Проверьте, настроен ли клиент (в большинстве случаев используется по умолчанию):
authc_config -u Administrator -p password -e find-all-tenants
Примечание.: Указанная учетная запись — это учетная запись/пароль администратора NetWorker.
Пример.
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Примечание.: Укажите имя клиента, которое было собрано с помощью команды на шаге 2. Имя домена должно совпадать с тем, как оно было указано при настройке внешней аутентификации LDAP AD. не обязательно домена, так как он отображается в запросе DNS. Укажите доменное имя так же, как при входе в NMC. Укажите пользователя AD для имени пользователя.
Примере:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Из этого вывода должно быть полное доменное имя группы AD, к которой необходимо добавить разрешения. Его можно скопировать и вставьте в поля «Внешние роли» в разделе «Роли NMC» и «Группы пользователей» сервера NetWorker. Его также можно использовать в команде FULL_CONTROL разрешений.
authc_config и authc_mgmt являются очень полезными командами для тестирования/настройки внешней аутентификации. Чтобы просмотреть все доступные параметры, выполните команды самостоятельно без флагов/коммутаторов.
authc_config и authc_mgmt являются очень полезными командами для тестирования/настройки внешней аутентификации. Чтобы просмотреть все доступные параметры, выполните команды самостоятельно без флагов/коммутаторов.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 16 Jul 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.