NetWorker: AD/LDAP-bruger kan ikke se NMC-brugere eller NMC-roller "Kunne ikke hente brugeroplysninger fra godkendelsestjeneste [Adgang nægtet]"
概要: Du kan logge på NMC med en LDAP AD-bruger, men kan ikke se NMC-roller eller NMC-brugere. Fejlmeddelelsen "Kunne ikke hente brugeroplysninger fra godkendelsesservice [Adgang nægtet]" vises. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Du kan logge på NMC med en LDAP AD-bruger, men kan ikke se NMC-roller eller NMC-brugere. Fejlmeddelelsen "Kunne ikke hente brugeroplysninger fra godkendelsesservice [Adgang nægtet]" vises.
原因
Problem 1: AD Group DN er ikke angivet i NMC-rollerne "Console Security Administrator" og/eller NetWorker-serverbrugergruppens "Sikkerhedsadministratorer"
, problem 2: Den eksterne NetWorker-godkendelseskonfiguration har en forkert eller manglende "Konfigurationsbrugergruppeattribut".
Problem 3: AD-gruppe-DN, som ikke er blevet tildelt FULL_CONTROL administratorrettigheder.
, problem 2: Den eksterne NetWorker-godkendelseskonfiguration har en forkert eller manglende "Konfigurationsbrugergruppeattribut".
Problem 3: AD-gruppe-DN, som ikke er blevet tildelt FULL_CONTROL administratorrettigheder.
解決方法
Problem 1:
1) Log på NMC som standard NetWorker Administrator-konto .
2) Gå til Setup-->Users and Roles-NMC> Roles.
3) Åbn egenskaberne for rollerne Console Security Administrator og Console Application Administrator.
4) I feltet Eksterne roller skal det entydige navn (DN) for AD-gruppe(e) for NetWorker-administratorer angives.
Bemærk: Hvis du ikke ved, hvilken DN der er angivet, skal du se feltet Bemærkninger for at se de trin, der kan udføres for at indsamle disse oplysninger. AD-gruppe-DN'erne skal også føjes til de tilsvarende felter for NetWorker-serverens brugergruppes eksterne roller. Opret forbindelse til NetWorker-serveren fra NMC som standard NetWorker Administrator-konto, og gå til Server-->Brugergrupper. Uden dette kan du logge på NMC som AD-bruger, men ikke oprette forbindelse til NetWorker-serveren.
Eksempel:
I denne forekomst er "Config User Group Attribute" tom. For AD-baseret godkendelse skal dette felt indstilles til memberOf. Hvis feltet er tomt eller har en anden værdi, skal du gøre følgende:
2) For at opdatere denne værdi via kommandoen skal du køre følgende:
1) Log på NMC som standard NetWorker Administrator-konto .
2) Gå til Setup-->Users and Roles-NMC> Roles.
3) Åbn egenskaberne for rollerne Console Security Administrator og Console Application Administrator.
4) I feltet Eksterne roller skal det entydige navn (DN) for AD-gruppe(e) for NetWorker-administratorer angives.
Bemærk: Hvis du ikke ved, hvilken DN der er angivet, skal du se feltet Bemærkninger for at se de trin, der kan udføres for at indsamle disse oplysninger. AD-gruppe-DN'erne skal også føjes til de tilsvarende felter for NetWorker-serverens brugergruppes eksterne roller. Opret forbindelse til NetWorker-serveren fra NMC som standard NetWorker Administrator-konto, og gå til Server-->Brugergrupper. Uden dette kan du logge på NMC som AD-bruger, men ikke oprette forbindelse til NetWorker-serveren.
Eksempel:
5) Når DN for Din NetWorker-administrators AD-gruppe(e) er blevet føjet til begge roller. Log ind på NMC som en AD-bruger, der tilhører den nyligt tilføjede gruppe, og bekræft, at du kan se konfigurationer for NMC-brugere og NMC-roller.
Problem 2:
1) Kontroller din eksisterende konfiguration ved hjælp af dit konfigurations-id:
Problem 2:
1) Kontroller din eksisterende konfiguration ved hjælp af dit konfigurations-id:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Bemærk: Den angivne konto er NetWorker-administratorkontoen/-adgangskoden. Erstat # med det konfigurations-id, der er indsamlet i den første kommando.
Eksempel:
Eksempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
I denne forekomst er "Config User Group Attribute" tom. For AD-baseret godkendelse skal dette felt indstilles til memberOf. Hvis feltet er tomt eller har en anden værdi, skal du gøre følgende:
2) For at opdatere denne værdi via kommandoen skal du køre følgende:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Bemærk: På nogle systemer vil du ikke være i stand til at opdatere individuelle værdier. Hvis du modtager en fejl med ovenstående kommando, anbefales det at bruge scriptskabelonerne, der findes under:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Bemærk: Ovenstående Windows-sti antager, at standardinstallationsstien til NetWorker blev brugt.
Bemærk: Ovenstående Windows-sti antager, at standardinstallationsstien til NetWorker blev brugt.
Hvis scriptet bruges, kan du ændre "-e add-config" til "-e update-config" og udfylde resten af felterne i henhold til dit miljø. Attributten Config User Group skal indstilles til "-D "config-user-group-attr=memberOf"" i scriptskabelonen (som standard). Når konfigurationen er blevet opdateret, bør du kunne se ændringerne med: authc_config -u Administrator -p password -e find-config -D config-id=#
Eksempel:
Eksempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Log ud af NMC, og log ind igen med din AD-bruger
Problem 3:
I nogle tilfælde, selv efter tilføjelse af AD-gruppe-DN(e) til felterne Eksterne roller i Console Security Administrator og Console Application Administrator, vil du stadig få fejlen "Adgang nægtet". FULL_CONTROL tilladelser kan føjes til NetWorker Administrators AD-gruppe(e).
1) Åbn en kommandoprompt med administratorrettigheder på NetWorker server
2) Bekræft, hvilke AD-grupper der har FULL_CONTROL tilladelser er indstillet:
I nogle tilfælde, selv efter tilføjelse af AD-gruppe-DN(e) til felterne Eksterne roller i Console Security Administrator og Console Application Administrator, vil du stadig få fejlen "Adgang nægtet". FULL_CONTROL tilladelser kan føjes til NetWorker Administrators AD-gruppe(e).
1) Åbn en kommandoprompt med administratorrettigheder på NetWorker server
2) Bekræft, hvilke AD-grupper der har FULL_CONTROL tilladelser er indstillet:
authc_config -u Administrator -p password -e find-all-permissions
Bemærk: Den angivne konto er NetWorker-administratorkontoen/-adgangskoden.
3)Hvis DN for NetWorker-administratorgruppen ikke er angivet, skal du køre følgende kommando:
3)Hvis DN for NetWorker-administratorgruppen ikke er angivet, skal du køre følgende kommando:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Bemærk: Tilladelsesgruppe-dn skal indeholde hele DN for den gruppe, du vil tilføje tilladelserne til. Hvis du ikke ved, hvad gruppe-DN er, skal du se feltet Bemærkninger til indsamling af disse oplysninger.
Eksempel:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Når tilladelsen er tilføjet, kan du bekræfte ændringerne ved at køre kommandoen find-alle-tilladelser fra trin 2.
5) Log på NMC med en AD-bruger, der tilhører den gruppe, du lige har tilføjet tilladelser til og kan bekræfte, om du kan se NMC-rollerne eller NMC-brugerindstillingerne.
その他の情報
Ovenstående procedurer kræver kendskab til det entydige navn (DN) for en AD-gruppe, som AD-brugere tilhører. Dette kan bekræftes af din AD-administrator, men kan også indsamles ved hjælp af authc_config og authc_mgmt kommandoer på NetWorker-serveren. For at indsamle disse oplysninger skal du også kende den lejer og det domæne, der er konfigureret til dine LDAP AD eksterne godkendelser:
1) Log på NetWorker-serveren og åbn en kommandoprompt med administratorrettigheder.
2) Bekræft, om en lejer er konfigureret (i de fleste tilfælde anvendes standard):
3) Når du har lejernavnet, kan du køre følgende kommando for at forespørge om LDAP AD-grupper for en bestemt AD-bruger:
Eksempel:
1) Log på NetWorker-serveren og åbn en kommandoprompt med administratorrettigheder.
2) Bekræft, om en lejer er konfigureret (i de fleste tilfælde anvendes standard):
authc_config -u Administrator -p password -e find-all-tenants
Bemærk: Den angivne konto er NetWorker-administratorkontoen/-adgangskoden.
Eksempel:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Bemærk: Angiv det lejernavn, der blev indsamlet fra kommandoen i trin 2. Domænenavnet skal stemme overens med den, der blev angivet ved konfiguration af ekstern LDAP AD-godkendelse. ikke nødvendigvis domænet, som det vises i en DNS-forespørgsel. Angiv domænenavnet, som du ville, når du logger på NMC. Angiv en AD-bruger til brugernavnet.
Eksempel:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Fra dette output bør du nu have det fulde DN-navn på den AD-gruppe, du vil tilføje tilladelser til. Dette kan kopieres og indsættes i felterne Eksterne roller i NMC-rollerne og NetWorker-serverens brugergrupper. Det kan også bruges i kommandoen FULL_CONTROL tilladelser.
authc_config og authc_mgmt er meget nyttige kommandoer til test/konfiguration af ekstern godkendelse. For at se alle de tilgængelige muligheder skal du køre kommandoerne på egen hånd uden flag/switche.
authc_config og authc_mgmt er meget nyttige kommandoer til test/konfiguration af ekstern godkendelse. For at se alle de tilgængelige muligheder skal du køre kommandoerne på egen hånd uden flag/switche.
対象製品
NetWorker製品
NetWorker, NetWorker Management Console文書のプロパティ
文書番号: 000039819
文書の種類: Solution
最終更新: 16 7月 2025
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。