NetWorker: AD/LDAP-användare kan inte se NMC-användare eller NMC-roller "Unable to get user information from authentication service [Access is Denied]"
概要: Du kan logga in på NMC med en LDAP AD-användare men kan inte visa NMC-roller eller NMC-användare. Felmeddelandet "Unable to get user information from authentication service [Access is Denied]" visas. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Du kan logga in på NMC med en LDAP AD-användare men kan inte visa NMC-roller eller NMC-användare. Felmeddelandet "Unable to get user information from authentication service [Access is Denied]" visas.
原因
Problem 1: AD-grupp-DN anges inte i NMC-rollerna "Console Security Administrator" och/eller NetWorker-serveranvändargruppens Problem 2 för säkerhetsadministratörer
: Den externa NetWorker-autentiseringskonfigurationen har ett felaktigt eller saknat attribut för konfiguration av användargrupp.
Problem 3: AD-grupp-DN som inte har beviljats FULL_CONTROL administratörsbehörighet.
: Den externa NetWorker-autentiseringskonfigurationen har ett felaktigt eller saknat attribut för konfiguration av användargrupp.
Problem 3: AD-grupp-DN som inte har beviljats FULL_CONTROL administratörsbehörighet.
解決方法
Problem 1:
1) Logga in på NMC som standardkonto för NetWorker Administrator .
2) Gå till Setup-->Users and Roles-->NMC Roles.
3) Öppna egenskaperna för konsolsäkerhetsadministratörs- och konsolprogramadministratörsrollerna.
4) I fältet External Roles ska unika namn (DN) för AD-grupperna för NetWorker-administratörer anges.
Observera: Om du är osäker på vilken DN som anges läser du fältet Anteckningar för anvisningar som kan slutföras för att samla in den här informationen. AD-gruppens DN ska också läggas till i motsvarande användargrupps fält för externa roller på NetWorker-servern. Anslut till NetWorker-servern från NMC som standardkonto för NetWorker Administrator och gå till Server-->User Groups. Utan detta kan du logga in på NMC som AD-användare men inte ansluta till NetWorker-servern.
Exempel:
I det här fallet är attributet "Config User Group Attribute" tomt. För AD-baserad autentisering ska det här fältet ställas in på memberOf. Om det här fältet är tomt eller har något annat värde gör du följande:
2) Om du vill uppdatera det här värdet med hjälp av kommandot kör du följande:
1) Logga in på NMC som standardkonto för NetWorker Administrator .
2) Gå till Setup-->Users and Roles-->NMC Roles.
3) Öppna egenskaperna för konsolsäkerhetsadministratörs- och konsolprogramadministratörsrollerna.
4) I fältet External Roles ska unika namn (DN) för AD-grupperna för NetWorker-administratörer anges.
Observera: Om du är osäker på vilken DN som anges läser du fältet Anteckningar för anvisningar som kan slutföras för att samla in den här informationen. AD-gruppens DN ska också läggas till i motsvarande användargrupps fält för externa roller på NetWorker-servern. Anslut till NetWorker-servern från NMC som standardkonto för NetWorker Administrator och gå till Server-->User Groups. Utan detta kan du logga in på NMC som AD-användare men inte ansluta till NetWorker-servern.
Exempel:
5) När DN för din NetWorker-administratörs AD-grupp har lagts till i båda rollerna. Logga in på NMC som en AD-användare som tillhör den nyligen tillagda gruppen och kontrollera om du kan se konfigurationerna av NMC-användare och NMC-roller.
Problem 2:
1) Kontrollera din befintliga konfiguration med ditt konfigurations-ID:
Problem 2:
1) Kontrollera din befintliga konfiguration med ditt konfigurations-ID:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Obs! Det konto som anges är NetWorker-administratörskontot/-lösenordet. Ersätt # med det config-ID som samlats in i det första kommandot.
Exempel:
Exempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
I det här fallet är attributet "Config User Group Attribute" tomt. För AD-baserad autentisering ska det här fältet ställas in på memberOf. Om det här fältet är tomt eller har något annat värde gör du följande:
2) Om du vill uppdatera det här värdet med hjälp av kommandot kör du följande:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Obs! I vissa system kan du inte uppdatera enskilda värden. Om du får ett felmeddelande med ovanstående kommando rekommenderar vi att du använder skriptmallarna under:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program\EMC NetWorker\nsr\authc-server\bin
Obs! Ovanstående Windows-sökväg förutsätter att standardsökvägen för NetWorker-installationen användes.
Obs! Ovanstående Windows-sökväg förutsätter att standardsökvägen för NetWorker-installationen användes.
Om skriptet används kan du ändra "-e add-config" till "-e update-config" och fylla i resten av fälten enligt din miljö. Config User Group Attribute ska ställas in på "-D "config-user-group-attr=memberOf" i skriptmallen (som standard). När konfigurationen har uppdaterats bör du se ändringarna med: authc_config -u Administratör -p lösenord -e find-config -D config-id=#
Exempel:
Exempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Logga ut från NMC och logga in igen med ad-användaren
Problem 3:
I vissa fall får du fortfarande felmeddelandet "Åtkomst nekad" även efter att du lagt till AD-gruppen DN i fälten External Roles i Console Security Administrator och Console Application Administrator. FULL_CONTROL behörigheter kan läggas till i NetWorker-administratörernas AD-grupp(ar).
1) Öppna en upphöjd kommandotolk på NetWorker-servern
2) Kontrollera vilka AD-grupper som har FULL_CONTROL behörigheter:
I vissa fall får du fortfarande felmeddelandet "Åtkomst nekad" även efter att du lagt till AD-gruppen DN i fälten External Roles i Console Security Administrator och Console Application Administrator. FULL_CONTROL behörigheter kan läggas till i NetWorker-administratörernas AD-grupp(ar).
1) Öppna en upphöjd kommandotolk på NetWorker-servern
2) Kontrollera vilka AD-grupper som har FULL_CONTROL behörigheter:
authc_config -u Administratör -p lösenord -e find-all-permissions
Obs! Det konto som anges är NetWorker-administratörskontot/-lösenordet.
3)Om DN för NetWorker-administratörsgruppen inte anges kör du följande kommando:
3)Om DN för NetWorker-administratörsgruppen inte anges kör du följande kommando:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Obs! Behörighetsgruppen-dn bör innehålla hela DN för den grupp som du vill lägga till behörigheterna till. Om du är osäker på grupp-DN ser du fältet Anteckningar för att samla in den här informationen.
Exempel:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) När behörigheten har lagts till kan du bekräfta ändringarna genom att köra kommandot find-all-permissions från steg 2.
5) Logga in på NMC med en AD-användare som tillhör den grupp där du precis har lagt till behörigheter för och bekräfta om du kan se inställningarna för NMC-roller eller NMC-användare.
その他の情報
Ovanstående procedurer kräver att du vet det unika namnet (DN) för en AD-grupp som AD-användare tillhör. Detta kan bekräftas av AD-administratören, men kan även samlas in med authc_config- och authc_mgmt-kommandon på NetWorker-servern. För att kunna samla in den här informationen behöver du även känna till klientorganisationen och domänen som konfigurerats för dina externa LDAP AD-autentiseringar:
1) Logga in på NetWorker-servern och öppna en upphöjd kommandotolk.
2) Kontrollera om en klientorganisation har konfigurerats (standard används i de flesta fall):
3) När du har klientorganisationens namn kan du köra följande kommando för att fråga LDAP AD-grupper om en specifik AD-användare:
Exempel:
1) Logga in på NetWorker-servern och öppna en upphöjd kommandotolk.
2) Kontrollera om en klientorganisation har konfigurerats (standard används i de flesta fall):
authc_config -u Administratör -p lösenord -e find-all-tenants
Obs! Det konto som anges är NetWorker-administratörskontot/-lösenordet.
Exempel:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Obs! Ange det klientnamn som hämtades från kommandot i steg 2. Domännamnet måste matcha hur det angavs när du konfigurerar extern LDAP AD-autentisering; inte nödvändigtvis domänen som den skulle visas i en DNS-fråga. Ange domännamnet som du gör när du loggar in på NMC. Ange en AD-användare för användarnamnet.
Exempel:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Från det här utdata ska du nu ha det fullständiga DN-namnet för den AD-grupp som du vill lägga till behörigheter till. Detta kan kopieras och klistras in i fälten External Roles i NMC Roles och NetWorker-serverns användargrupper. Den kan också användas i kommandot FULL_CONTROL permissions.
authc_config och authc_mgmt är mycket användbara kommandon för att testa/konfigurera extern autentisering. Om du vill se alla tillgängliga alternativ kör du kommandona på egen hand utan flaggor/switchar.
authc_config och authc_mgmt är mycket användbara kommandon för att testa/konfigurera extern autentisering. Om du vill se alla tillgängliga alternativ kör du kommandona på egen hand utan flaggor/switchar.
対象製品
NetWorker製品
NetWorker, NetWorker Management Console文書のプロパティ
文書番号: 000039819
文書の種類: Solution
最終更新: 16 7月 2025
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。