NetWorker: AD-/LDAP-käyttäjä ei näe NMC-käyttäjiä tai NMC-rooleja (Unable to get user information from authentication service [Access is Denied])
概要: Voit kirjautua NMC:hen LDAP AD -käyttäjällä, mutta et voi tarkastella NMC-rooleja tai NMC-käyttäjiä. Näyttöön tulee virheilmoitus Unable to get user information from authentication service [Access is Denied]. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Voit kirjautua NMC:hen LDAP AD -käyttäjällä, mutta et voi tarkastella NMC-rooleja tai NMC-käyttäjiä. Näyttöön tulee virheilmoitus Unable to get user information from authentication service [Access is Denied].
原因
Aihe 1: AD-ryhmän DN:ää ei ole määritetty NMC-roolien Console Security Administrator -kohdassa ja/tai NetWorker-palvelinkäyttäjäryhmän Security Administrators -
kohdassa. Aihe 2: Ulkoisen NetWorker-todennusmäärityksen "Config User Group Attribute" tai se puuttuu.
Aihe 3: AD-ryhmä DN, jolle ei ole myönnetty, FULL_CONTROL järjestelmänvalvojan oikeudet.
kohdassa. Aihe 2: Ulkoisen NetWorker-todennusmäärityksen "Config User Group Attribute" tai se puuttuu.
Aihe 3: AD-ryhmä DN, jolle ei ole myönnetty, FULL_CONTROL järjestelmänvalvojan oikeudet.
解決方法
Aihe 1:
1) Kirjaudu NMC:hen oletusarvoisena NetWorker Administrator -tilinä.
2) Siirry kohtaan Setup-Users> and Roles-NMC> Roles.
3) Avaa Console Security Administrator- ja Console Application Administrator -roolien ominaisuudet.
4) NetWorker-järjestelmänvalvojien AD-ryhmien Distinguished Name (DN) -nimi on määritettävä External Roles -kentässä.
Huomautus: Jos olet epävarma määritettävästä DN:stä, katso Notes-kentästä ohjeet näiden tietojen keräämiseen. AD-ryhmän DN-nimet on lisättävä myös vastaavan NetWorker-palvelimen käyttäjäryhmän ulkoisten roolien kenttiin. Muodosta yhteys NetWorker-palvelimeen NMC:stä oletusarvoisena NetWorker Administrator -tilinä ja siirry Server-User> Groups -kohtaan. Ilman tätä voit kirjautua NMC:hen AD-käyttäjänä, mutta et ole yhteydessä NetWorker-palvelimeen.
Esimerkki:
Tässä tapauksessa Config User Group Attribute on tyhjä. AD-pohjaista todennusta varten tämän kentän on oltava memberOf. Jos tämä kenttä on tyhjä tai siinä on jokin muu arvo, toimi seuraavasti:
2) Päivitä tämä arvo komennolla suorita seuraavasti:
1) Kirjaudu NMC:hen oletusarvoisena NetWorker Administrator -tilinä.
2) Siirry kohtaan Setup-Users> and Roles-NMC> Roles.
3) Avaa Console Security Administrator- ja Console Application Administrator -roolien ominaisuudet.
4) NetWorker-järjestelmänvalvojien AD-ryhmien Distinguished Name (DN) -nimi on määritettävä External Roles -kentässä.
Huomautus: Jos olet epävarma määritettävästä DN:stä, katso Notes-kentästä ohjeet näiden tietojen keräämiseen. AD-ryhmän DN-nimet on lisättävä myös vastaavan NetWorker-palvelimen käyttäjäryhmän ulkoisten roolien kenttiin. Muodosta yhteys NetWorker-palvelimeen NMC:stä oletusarvoisena NetWorker Administrator -tilinä ja siirry Server-User> Groups -kohtaan. Ilman tätä voit kirjautua NMC:hen AD-käyttäjänä, mutta et ole yhteydessä NetWorker-palvelimeen.
Esimerkki:
5) Kun NetWorker-järjestelmänvalvojan AD-ryhmien DN on lisätty kumpaankin rooliin. Kirjaudu NMC:hen juuri lisättyyn ryhmään kuuluvana AD-käyttäjänä ja tarkista, näetkö NMC-käyttäjien ja NMC-roolien määritykset.
Aihe 2:
1) Tarkista olemassa olevat määritykset kokoonpanotunnuksellasi:
Aihe 2:
1) Tarkista olemassa olevat määritykset kokoonpanotunnuksellasi:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Huomautus: Määritetty tili on NetWorker Administrator -tili/-salasana. Korvaa # ensimmäisellä komennolla kerätyllä määritystunnuksella.
Esimerkki:
Esimerkki:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
Tässä tapauksessa Config User Group Attribute on tyhjä. AD-pohjaista todennusta varten tämän kentän on oltava memberOf. Jos tämä kenttä on tyhjä tai siinä on jokin muu arvo, toimi seuraavasti:
2) Päivitä tämä arvo komennolla suorita seuraavasti:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Huomautus: Joissakin järjestelmissä yksittäisiä arvoja ei voi päivittää. Jos edellä mainitussa komennossa näkyy virhe, on suositeltavaa käyttää seuraavista komentosarjamalleista löydettyjä komentosarjamalleja:
Linux: /opt/nsr/authc-palvelin/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Huomautus: yllä olevassa Windows-polussa oletetaan, että käytössä on NetWorkerin oletusasennuspolku.
Huomautus: yllä olevassa Windows-polussa oletetaan, että käytössä on NetWorkerin oletusasennuspolku.
Jos komentosarjaa käytetään, voit muuttaa -e add-config-asetuksen -määritykseksi -e update-config ja täyttää loput kentät ympäristön mukaan. Config User Group Attribute -asetuksena komentosarjamallissa on oltava "-D "config-user-group-attr=memberOf" (oletus). Kun määritykset on päivitetty, muutokset pitäisi näkyä seuraavasti: authc_config -u Administrator -p password -e find-config -D config-id=#
Esimerkki:
Esimerkki:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Kirjaudu ulos NMC:stä ja kirjaudu takaisin sisään AD-käyttäjältä
Aihe 3:
Joissakin tapauksissa Access Denied -virhe näkyy myös sen jälkeen, kun olet lisännyt AD-ryhmän DN:t Console Security Administratorin ja Console Application Administratorin External Roles -kenttiin. FULL_CONTROL käyttöoikeuksia voi lisätä NetWorker-järjestelmänvalvojien AD-ryhmään.
1) Avaa komentokehote järjestelmänvalvojana NetWorker-palvelimessa
2) Vahvista, mitkä AD-ryhmät ovat määrittäneet FULL_CONTROL käyttöoikeudet:
Joissakin tapauksissa Access Denied -virhe näkyy myös sen jälkeen, kun olet lisännyt AD-ryhmän DN:t Console Security Administratorin ja Console Application Administratorin External Roles -kenttiin. FULL_CONTROL käyttöoikeuksia voi lisätä NetWorker-järjestelmänvalvojien AD-ryhmään.
1) Avaa komentokehote järjestelmänvalvojana NetWorker-palvelimessa
2) Vahvista, mitkä AD-ryhmät ovat määrittäneet FULL_CONTROL käyttöoikeudet:
authc_config -u Administrator -p password -e find-all-permissions
Huomautus: Määritetty tili on NetWorker Administrator -tili/-salasana.
3)Jos NetWorker-järjestelmänvalvojaryhmän DN:ää ei ole määritetty, suorita seuraava komento:
3)Jos NetWorker-järjestelmänvalvojaryhmän DN:ää ei ole määritetty, suorita seuraava komento:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Huomautus: Käyttöoikeusryhmä-dn:n pitäisi sisältää sen ryhmän täydellinen DN-merkintä, johon haluat lisätä käyttöoikeudet. Jos olet epävarma ryhmän DN:stä, katso näiden tietojen kerääminen Notes-kentästä.
Esimerkki:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Kun käyttöoikeus on lisätty, voit vahvistaa muutokset suorittamalla vaiheen 2 find-all-permissions-komennon.
5) Kirjaudu NMC:hen siihen AD-käyttäjään, joka kuuluu juuri lisäämääsi ryhmään, ja varmista, että näet NMC Roles- tai NMC Users -asetukset.
その他の情報
Edellä mainitut toimet edellyttävät sen AD-ryhmän DN(Distinguished Name) -nimen tietämistä, johon AD-käyttäjät kuuluvat. Tämän voi varmistaa AD-järjestelmänvalvojalta, mutta sen voi kerätä myös networker-palvelimen authc_config ja authc_mgmt komennoilla. Jotta voit kerätä nämä tiedot, sinun tarvitsee myös tietää LDAP AD:n ulkoisille todennukselle määritetty vuokralainen ja toimialue:
1) Kirjaudu NetWorker-palvelimeen ja avaa komentokehote järjestelmänvalvojana.
2) Tarkista, onko vuokralainen määritetty (useimmiten käytetään oletusasetusta):
3) Kun olet saanut vuokraajan nimen, voit lähettää seuraavan komennon tietyn AD-käyttäjän LDAP AD -ryhmiin:
Esimerkki:
1) Kirjaudu NetWorker-palvelimeen ja avaa komentokehote järjestelmänvalvojana.
2) Tarkista, onko vuokralainen määritetty (useimmiten käytetään oletusasetusta):
authc_config -u Administrator -p password -e find-all-tenants
Huomautus: Määritetty tili on NetWorker Administrator -tili/-salasana.
Esimerkki:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Huomautus: Määritä vaiheessa 2 haetun komennon käyttäjän nimi. Toimialuenimen on vastattava ulkoisen LDAP AD -todennuksen määrityksessä määritettyä nimeä. toimialue ei välttämättä näy DNS-kyselyssä. Määritä toimialueen nimi samalla tavalla kuin NMC:hen kirjauduttaessa. Määritä käyttäjänimelle AD-käyttäjä.
Esimerkki:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Tässä tulosteessa sinulla pitäisi nyt olla sen AD-ryhmän täydellinen DN-nimi, johon haluat lisätä käyttöoikeudet. Tämän voi kopioida ja liittää NMC-roolien ja NetWorker-palvelimen käyttäjäryhmien External Roles -kenttiin. Sitä voi käyttää myös FULL_CONTROL permissions -komennossa.
authc_config ja authc_mgmt ovat erittäin hyödyllisiä komentoja ulkoisen todennuksen testaamiseen/määrittämiseen. Näet kaikki käytettävissä olevat vaihtoehdot suorittamalla komennot ilman merkintöjä/kytkimiä.
authc_config ja authc_mgmt ovat erittäin hyödyllisiä komentoja ulkoisen todennuksen testaamiseen/määrittämiseen. Näet kaikki käytettävissä olevat vaihtoehdot suorittamalla komennot ilman merkintöjä/kytkimiä.
対象製品
NetWorker製品
NetWorker, NetWorker Management Console文書のプロパティ
文書番号: 000039819
文書の種類: Solution
最終更新: 16 7月 2025
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。