NetWorker : La connexion NMC échoue pour l’utilisateur AD ou LDAP avec le message « Vous n’avez pas les privilèges nécessaires pour utiliser NMC »

• L’erreur suivante s’affiche lorsque vous tentez de vous connecter à NMC en tant qu’utilisateur externe (AD ou LDAP) :

• Ce même utilisateur AD peut se connecter à l’aide de nsrlogin option de ligne de commande.
• L’authentification réussit pour le compte administrateur NetWorker par défaut.
• Dans certains cas, cette erreur peut n’affecter que des utilisateurs spécifiques.

nsrlogin

nsrlogin -t tenant_name -t domain -u username
nsrlogout

• Tenant_name : Dans la plupart des configurations, il s’agit de la valeur par défaut ; sinon, il s’agit du nom du client configuré par l’administrateur NetWorker.
• Domain: Valeur du préfixe de domaine utilisée lors de la connexion à NMC
• Username: Nom d’utilisateur AD ou LDAP sans préfixe de domaine

1. Connectez-vous à NetWorker Management Console (NMC) en tant que compte administrateur NetWorker par défaut.
2. Accédez à Configuration > Utilisateurs et rôles Rôles > NMC.
3. Vérifiez les rôles Console Users et Application Administrators. Les champs Rôles externes doivent contenir le nom unique (DN) (chemin complet) d’un groupe AD auquel appartient l’utilisateur. Si vous le souhaitez, le chemin d’accès d’un seul utilisateur peut être défini. 

Par exemple :

4. Après avoir ajouté le nom unique du groupe AD aux rôles NMC appropriés pour l’utilisateur, testez la connexion à NMC avec cet utilisateur AD.

Si le problème persiste, vous pouvez vérifier l’appartenance au groupe AD ou LDAP avec les options suivantes :

Windows PowerShell :

À partir d’un système Windows sur le même domaine, exécutez la commande PowerShell suivante :

Get-ADPrincipalGroupMembership -Identity USERNAME

Exemple :

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Le distinguishedName La commande peut être utilisée dans NetWorker pour accorder à l’utilisateur AD l’accès à NMC.

Pour plus d’informations sur cette commande, reportez-vous à l’article Microsoft Get-ADPrincipalGroupMembership 

NetWorker authc_mgmt Commande :

Vous pouvez utiliser la commande authc_mgmt pour interroger l’appartenance d’un utilisateur ou d’un groupe AD ou LDAP. Sur le NetWorker Server, ouvrez une invite de commande (ou session SSH) et exécutez la syntaxe de commande suivante :

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Le Full Dn Name de l’un des groupes peut être utilisé pour accorder à cet utilisateur AD l’accès à la NMC.

La configuration et les valeurs nécessaires pour authc_mgmt Les commandes peuvent être collectées en exécutant :

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants

Voir : NetWorker : Configuration de l’authentification AD ou LDAP