NetWorker: AD/LDAP-Benutzer kann NMC-Benutzer oder NMC-Rollen "Unable to get user information from authentication service [Access is Denied]" nicht sehen.
概要: Sie können sich mit einem LDAP AD-Benutzer beim NMC anmelden, aber nmc-Rollen oder NMC-Benutzer können nicht angezeigt werden. Die Fehlermeldung "Unable to get user information from authentication service [Access is Denied]" wird angezeigt. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Sie können sich mit einem LDAP AD-Benutzer beim NMC anmelden, aber nmc-Rollen oder NMC-Benutzer können nicht angezeigt werden. Die Fehlermeldung "Unable to get user information from authentication service [Access is Denied]" wird angezeigt.
原因
Thema 1: Der AD-Gruppen-DN ist nicht in den NMC-Rollen "Console Security Administrator" und/oder den "Sicherheitsadministratoren"
der NetWorker-Server-Benutzergruppe angegeben. Problem 2: Die externe NetWorker-Authentifizierungskonfiguration weist ein falsches oder fehlendes "Config User Group Attribute" auf.
Thema 3: Der AD-Gruppen-DN, dem keine FULL_CONTROL Administratorrechte gewährt wurden.
der NetWorker-Server-Benutzergruppe angegeben. Problem 2: Die externe NetWorker-Authentifizierungskonfiguration weist ein falsches oder fehlendes "Config User Group Attribute" auf.
Thema 3: Der AD-Gruppen-DN, dem keine FULL_CONTROL Administratorrechte gewährt wurden.
解決方法
Thema 1:
1) Melden Sie sich als Standardmäßiges NetWorker-Administratorkonto bei NMC an.
2) Gehen Sie zu Setup –> Benutzer und Rollen – NMC-Rollen>.
3) Öffnen Sie die Eigenschaften der Rollen "Console Security Administrator" und "Console Application Administrator".
4) Im Feld Externe Rollen sollte der Distinguished Name (DN) der AD-Gruppe(n) für NetWorker-Administratoren angegeben werden.
Hinweis: Wenn Sie sich nicht sicher sind, ob der angegebene DN angegeben wird, finden Sie im Feld Hinweise Die Schritte, die für die Erfassung dieser Informationen abgeschlossen werden können. Die AD-Gruppen-DNs sollten auch zu den Externen Rollenfeldern der Benutzergruppe des entsprechenden NetWorker-Servers hinzugefügt werden. Stellen Sie über nmC als Standardmäßiges NetWorker-Administratorkonto eine Verbindung zum NetWorker-Server her und navigieren Sie zu Server –> Benutzergruppen. Ohne dies können Sie sich als AD-Benutzer bei NMC anmelden, aber keine Verbindung zum NetWorker-Server herstellen.
Beispiel:
In diesem Fall ist das "Config User Group Attribute" leer. Für die AD-basierte Authentifizierung sollte dieses Feld auf memberOf festgelegt werden. Wenn dieses Feld leer ist oder einen anderen Wert aufweist, führen Sie die folgenden Schritte aus:
2) Um diesen Wert über den Befehl zu aktualisieren, führen Sie folgende Schritte aus:
1) Melden Sie sich als Standardmäßiges NetWorker-Administratorkonto bei NMC an.
2) Gehen Sie zu Setup –> Benutzer und Rollen – NMC-Rollen>.
3) Öffnen Sie die Eigenschaften der Rollen "Console Security Administrator" und "Console Application Administrator".
4) Im Feld Externe Rollen sollte der Distinguished Name (DN) der AD-Gruppe(n) für NetWorker-Administratoren angegeben werden.
Hinweis: Wenn Sie sich nicht sicher sind, ob der angegebene DN angegeben wird, finden Sie im Feld Hinweise Die Schritte, die für die Erfassung dieser Informationen abgeschlossen werden können. Die AD-Gruppen-DNs sollten auch zu den Externen Rollenfeldern der Benutzergruppe des entsprechenden NetWorker-Servers hinzugefügt werden. Stellen Sie über nmC als Standardmäßiges NetWorker-Administratorkonto eine Verbindung zum NetWorker-Server her und navigieren Sie zu Server –> Benutzergruppen. Ohne dies können Sie sich als AD-Benutzer bei NMC anmelden, aber keine Verbindung zum NetWorker-Server herstellen.
Beispiel:
5) Sobald der DN der AD-Gruppe(n) Ihres NetWorker-Administrators zu beiden Rollen hinzugefügt wurde. Melden Sie sich beim NMC als AD-Benutzer an, der zur neu hinzugefügten Gruppe gehört, und überprüfen Sie, ob Sie die NMC-Benutzer- und NMC-Rollenkonfigurationen sehen können.
Thema 2:
1) Überprüfen Sie Ihre vorhandene Konfiguration mit Ihrer Konfigurations-ID:
Thema 2:
1) Überprüfen Sie Ihre vorhandene Konfiguration mit Ihrer Konfigurations-ID:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Hinweis: Das angegebene Konto ist das NetWorker-Administratorkonto/-Passwort. Ersetzen Sie # durch die im ersten Befehl erfasste Konfigurations-ID.
Beispiel:
Beispiel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
In diesem Fall ist das "Config User Group Attribute" leer. Für die AD-basierte Authentifizierung sollte dieses Feld auf memberOf festgelegt werden. Wenn dieses Feld leer ist oder einen anderen Wert aufweist, führen Sie die folgenden Schritte aus:
2) Um diesen Wert über den Befehl zu aktualisieren, führen Sie folgende Schritte aus:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Hinweis: In einigen Systemen können Sie einzelne Werte nicht aktualisieren. Wenn Sie eine Fehlermeldung mit dem obigen Befehl erhalten, wird empfohlen, die Skriptvorlagen zu verwenden, die unter zu finden sind:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Hinweis: Im obigen Windows-Pfad wird davon ausgegangen, dass der Standardmäßige NetWorker-Installationspfad verwendet wurde.
Hinweis: Im obigen Windows-Pfad wird davon ausgegangen, dass der Standardmäßige NetWorker-Installationspfad verwendet wurde.
Wenn das Skript verwendet wird, können Sie "-e add-config" in "-e update-config" ändern und die restlichen Felder gemäß Ihrer Umgebung ausfüllen. Das Attribut "Config User Group" sollte in der Skriptvorlage (standardmäßig) auf "-D "config-user-group-attr=memberOf" festgelegt werden. Sobald die Konfiguration aktualisiert wurde, sollten Sie die Folgenden änderungen sehen: authc_config -u Administrator -p Kennwort -e find-config -D config-id=#
Beispiel:
Beispiel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Melden Sie sich bei NMC ab und melden Sie sich mit Ihrem AD-Benutzer wieder an.
Thema 3:
In einigen Fällen wird auch nach dem Hinzufügen der AD-Gruppen-DN(s) zu den Feldern externe Rollen von Konsolensicherheitsadministrator und Konsolenanwendungsadministrator immer noch der Fehler "Zugriff verweigert" angezeigt. FULL_CONTROL Berechtigungen können zu den AD-Gruppen der NetWorker-Administratoren hinzugefügt werden.
1) Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem NetWorker-Server
2) Überprüfen Sie, welche AD-Gruppen über FULL_CONTROL Berechtigungen verfügen:
In einigen Fällen wird auch nach dem Hinzufügen der AD-Gruppen-DN(s) zu den Feldern externe Rollen von Konsolensicherheitsadministrator und Konsolenanwendungsadministrator immer noch der Fehler "Zugriff verweigert" angezeigt. FULL_CONTROL Berechtigungen können zu den AD-Gruppen der NetWorker-Administratoren hinzugefügt werden.
1) Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem NetWorker-Server
2) Überprüfen Sie, welche AD-Gruppen über FULL_CONTROL Berechtigungen verfügen:
authc_config -u Administrator -p Kennwort -e find-all-permissions
Hinweis: Das angegebene Konto ist das NetWorker-Administratorkonto/-Passwort.
3)Wenn der DN der NetWorker-Administratorgruppe nicht angegeben ist, führen Sie den folgenden Befehl aus:
3)Wenn der DN der NetWorker-Administratorgruppe nicht angegeben ist, führen Sie den folgenden Befehl aus:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Hinweis: Permission-group-dn sollte den vollständigen DN der Gruppe enthalten, der Sie die Berechtigungen hinzufügen möchten. Wenn Sie sich der Gruppen-DN nicht sicher sind, lesen Sie das Feld Hinweise zum Erfassen dieser Informationen.
Beispiel:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Sobald die Berechtigung hinzugefügt wurde, können Sie die Änderungen bestätigen, indem Sie den Befehl find-all-permissions aus Schritt 2 ausführen.
5) Melden Sie sich bei NMC mit einem AD-Benutzer an, der zu der Gruppe gehört, zu der Sie gerade Berechtigungen hinzugefügt haben, und überprüfen Sie, ob Sie die NMC-Rollen- oder NMC-Benutzereinstellungen sehen können.
その他の情報
Die obigen Verfahren erfordern die Kenntnis des Distinguished Name (DN) einer AD-Gruppe, zu der AD-Benutzer gehören. Dies kann von Ihrem AD-Administrator bestätigt werden, kann aber auch mit authc_config- und authc_mgmt-Befehlen auf dem NetWorker-Server erfasst werden. Um diese Informationen zu erfassen, müssen Sie auch den Mandanten und die Domain kennen, die für Ihre externen LDAP AD-Authentifizierungen konfiguriert wurden:
1) Melden Sie sich beim NetWorker-Server an und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
2) Überprüfen Sie, ob ein Mandant konfiguriert wurde (in den meisten Fällen wird der Standardwert verwendet):
3) Sobald Sie den Mandantennamen haben, können Sie den folgenden Befehl ausführen, um LDAP AD-Gruppen für einen bestimmten AD-Benutzer abzufragen:
Beispiel:
1) Melden Sie sich beim NetWorker-Server an und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
2) Überprüfen Sie, ob ein Mandant konfiguriert wurde (in den meisten Fällen wird der Standardwert verwendet):
authc_config -u Administrator -p Kennwort -e find-all-tenants
Hinweis: Das angegebene Konto ist das NetWorker-Administratorkonto/-Passwort.
Beispiel:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Hinweis: Geben Sie den Mandantennamen an, der aus dem Befehl in Schritt 2 erfasst wurde. Der Domainname muss mit der Art und Weise übereinstimmen, wie er bei der Konfiguration der externen LDAP AD-Authentifizierung angegeben wurde. nicht unbedingt die Domain, wie sie in einer DNS-Abfrage angezeigt wird. Geben Sie den Domainnamen wie bei der Anmeldung beim NMC an. Geben Sie einen AD-Benutzer für den Benutzernamen an.
Beispiel:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Aus dieser Ausgabe sollten Sie jetzt den vollständigen DN-Namen der AD-Gruppe haben, der Sie Berechtigungen hinzufügen möchten. Dies kann kopiert und in die Felder "Externe Rollen" in den NMC-Rollen und den Benutzergruppen des NetWorker-Servers eingefügt werden. Sie kann auch im Befehl FULL_CONTROL Permissions verwendet werden.
authc_config und authc_mgmt sind sehr nützliche Befehle zum Testen/Konfigurieren der externen Authentifizierung. Um alle verfügbaren Optionen anzuzeigen, führen Sie die Befehle eigenständig ohne Flags/Switches aus.
authc_config und authc_mgmt sind sehr nützliche Befehle zum Testen/Konfigurieren der externen Authentifizierung. Um alle verfügbaren Optionen anzuzeigen, führen Sie die Befehle eigenständig ohne Flags/Switches aus.
対象製品
NetWorker製品
NetWorker, NetWorker Management Console文書のプロパティ
文書番号: 000039819
文書の種類: Solution
最終更新: 16 7月 2025
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。