NetWorker: NMC-påloggingen mislykkes for AD- eller LDAP-bruker med «Du har ikke rettigheter til å bruke NMC»
Summary: NMC-godkjenning (NetWorker Management Console) med en Active Directory-bruker (AD) eller LDAP-bruker (Lightweight Directory Access Protocol) mislykkes. Det vises en melding som sier «Du har ikke rettigheter til å bruke NetWorker Management Console». Konsollen er tilgjengelig via NetWorker Administrator eller en annen lokal NMC-konto. ...
Symptoms
- Følgende feil vises når du prøver å logge på NMC som en ekstern bruker (AD eller LDAP):
- Den samme AD-brukeren kan logge på ved hjelp av
nsrloginkommandolinjealternativ. - Godkjenningen lykkes for standard NetWorker Administrator-konto.
- I noen situasjoner kan denne feilen bare påvirke bestemte brukere.
nsrlogin
Åpne en ledetekst (eller SSH-økt) på NetWorker-serveren, og kjør følgende kommandosyntaks:
nsrlogin -t tenant_name -t domain -u username nsrlogout
- Tenant_name: I de fleste konfigurasjoner er denne verdien standard. Ellers er det leiernavnet som konfigureres av NetWorker-administratoren.
- Domain: Domeneprefiksverdien som brukes ved pålogging til NMC
- Brukernavn: AD- eller LDAP-brukernavn uten domeneprefiks
Cause
Resolution
- Logg på NetWorker Management Console (NMC) som standard NetWorker Administrator-konto.
- Gå til Oppsett > av brukere og roller > NMC-roller.
- Se gjennom rollene som konsollbrukere og applikasjonsadministratorer . Feltene Eksterne roller skal inneholde Unikt navn (DN)
(fullstendig bane) for en AD-gruppe brukeren tilhører. Eventuelt kan banen til én enkelt bruker angis.
Eksempel:
- Når AD-gruppen DN er lagt til i de riktige NMC-rollene for brukeren, tester du å logge på NMC med den AD-brukeren.
Additional Information
Hvis problemet vedvarer, kan du bekrefte AD- eller LDAP-gruppemedlemskapet med følgende alternativer:
Windows Powershell:
Kjør følgende PowerShell-kommando fra et Windows-system på samme domene:
Get-ADPrincipalGroupMembership -Identity USERNAME
Eksempel:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin ... ... distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local GroupCategory : Security GroupScope : Global name : NetWorker_Admins objectClass : group objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa SamAccountName : NetWorker_Admins SID : S-1-5-21-4085282181-485696706-820049737-1104
Informasjonen i distinguishedName Kommandoen kan brukes i NetWorker til å gi AD-brukeren tilgang til NMC.
Hvis du vil ha mer informasjon om denne kommandoen, kan du se Microsoft-artikkelen Get-ADPrincipalGroupMembership
NetWorker authc_mgmt Kommando:
Du kan bruke authc_mgmt kommando for å spørre AD- eller LDAP-bruker- eller gruppemedlemskap. Åpne en ledetekst (eller SSH-økt) på NetWorker-serveren, og kjør følgende kommandosyntaks:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
MERK: Du blir bedt om å angi passordet for NetWorker Administrator-kontoen.
For eksempel:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin Enter password: The query returns 2 records. Group Name Full Dn Name Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
Informasjonen i Full Dn Name av en av gruppene kan brukes til å gi denne AD-brukeren tilgang til NMC.
Konfigurasjonen og verdiene som er nødvendige for authc_mgmt Kommandoer kan samles inn ved å kjøre:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Se: NetWorker: Slik konfigurerer du AD- eller LDAP-godkjenning