NetWorker. Пользователь AD/LDAP не может видеть пользователей NMC или роли NMC «Unable to get user information from authentication service [Access is Denied]»
概要: Вы можете войти в NMC с помощью пользователя LDAP AD, но не могут просматривать роли NMC или пользователей NMC. Появится сообщение об ошибке «Unable to get user information from authentication service [Access is Denied]». ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Вы можете войти в NMC с помощью пользователя LDAP AD, но не могут просматривать роли NMC или пользователей NMC. Появится сообщение об ошибке «Unable to get user information from authentication service [Access is Denied]».
原因
Вопрос 1. DN группы AD не указан в роли NMC «Console Security Administrator» и/или «Администраторы безопасности» группы пользователей сервера NetWorker
. Проблема 2. Конфигурация внешней аутентификации NetWorker имеет неверную или отсутствуют «Атрибут группы пользователей конфигурации».
Вопрос 3. DN группы AD, которая не FULL_CONTROL права администратора.
. Проблема 2. Конфигурация внешней аутентификации NetWorker имеет неверную или отсутствуют «Атрибут группы пользователей конфигурации».
Вопрос 3. DN группы AD, которая не FULL_CONTROL права администратора.
解決方法
Вопрос 1.
1) Войдите в NMC в качестве учетной записи администратора NetWorker по умолчанию.
2) Перейдите в раздел Setup -->Users and Roles -->NMC Roles.
3) Откройте свойства ролей администратора безопасности консоли и администратора приложения консоли.
4) В поле Внешние роли следует указать различающееся имя (DN) групп AD для администраторов NetWorker.
Примечание: Если вы не уверены в указанном доменном имя, см. поле Примечания для получения действий, которые можно выполнить для сбора этой информации. DNS группы AD также следует добавить в соответствующие поля « Внешние роли» группы пользователей сервера NetWorker. Подключитесь к серверу NetWorker из NMC в качестве учетной записи администратора NetWorker по умолчанию и перейдите к Server -->User Groups. Без этого вы сможете войти в NMC в качестве пользователя AD, но не подключиться к серверу NetWorker.
Примере:
В этом случае параметр «Config User Group Attribute» пуст. Для аутентификации на основе AD это поле должно быть установлено в значение memberOf. Если это поле пустое или имеет другое значение, выполните следующие действия:
2) Чтобы обновить это значение с помощью команды, выполните следующую команду:
1) Войдите в NMC в качестве учетной записи администратора NetWorker по умолчанию.
2) Перейдите в раздел Setup -->Users and Roles -->NMC Roles.
3) Откройте свойства ролей администратора безопасности консоли и администратора приложения консоли.
4) В поле Внешние роли следует указать различающееся имя (DN) групп AD для администраторов NetWorker.
Примечание: Если вы не уверены в указанном доменном имя, см. поле Примечания для получения действий, которые можно выполнить для сбора этой информации. DNS группы AD также следует добавить в соответствующие поля « Внешние роли» группы пользователей сервера NetWorker. Подключитесь к серверу NetWorker из NMC в качестве учетной записи администратора NetWorker по умолчанию и перейдите к Server -->User Groups. Без этого вы сможете войти в NMC в качестве пользователя AD, но не подключиться к серверу NetWorker.
Примере:
5) После добавления доменного имени группы AD администратора NetWorker в обе роли. Войдите в NMC в качестве пользователя AD, входящих в добавленную группу, и убедитесь, что вы можете просматривать конфигурации пользователей и ролей NMC.
Вопрос 2.
1) Проверьте существующую конфигурацию с помощью идентификатора конфигурации:
Вопрос 2.
1) Проверьте существующую конфигурацию с помощью идентификатора конфигурации:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Примечание.: Указанная учетная запись — это учетная запись/пароль администратора NetWorker. Замените # на идентификатор конфигурации, полученный в первой команде.
Примере:
Примере:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
В этом случае параметр «Config User Group Attribute» пуст. Для аутентификации на основе AD это поле должно быть установлено в значение memberOf. Если это поле пустое или имеет другое значение, выполните следующие действия:
2) Чтобы обновить это значение с помощью команды, выполните следующую команду:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Примечание.: В некоторых системах невозможно обновить отдельные значения. При обнаружении ошибки с помощью указанной выше команды рекомендуется использовать шаблоны сценариев, найденные в:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Примечание. Указанный выше путь к Windows предполагает, что использовался путь установки NetWorker по умолчанию.
Примечание. Указанный выше путь к Windows предполагает, что использовался путь установки NetWorker по умолчанию.
Если используется сценарий, можно изменить значение «-e add-config» на «-e update-config» и заполнить остальные поля в соответствии с вашей средой. Для атрибута группы пользователей конфигурации должно быть задано значение «-D "config-user-group-attr=memberOf" в шаблоне сценария (по умолчанию). После обновления конфигурации отобразится следующее: authc_config -u Administrator -p password -e find-config -D config-id=#
Примере:
Примере:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Выйдите из NMC и снова войдите с пользователем AD.
Вопрос 3.
В некоторых случаях даже после добавления DN группы AD в поля Внешние роли администратора безопасности консоли и администратора консольных приложений по-прежнему отображается ошибка «Отказано в доступе». FULL_CONTROL администраторам NetWorker можно добавлять разрешения AD.
1) Откройте командную строку с повышенными привилегиями на сервере NetWorker
. 2) Проверьте, какие группы AD имеют FULL_CONTROL для них установлены:
В некоторых случаях даже после добавления DN группы AD в поля Внешние роли администратора безопасности консоли и администратора консольных приложений по-прежнему отображается ошибка «Отказано в доступе». FULL_CONTROL администраторам NetWorker можно добавлять разрешения AD.
1) Откройте командную строку с повышенными привилегиями на сервере NetWorker
. 2) Проверьте, какие группы AD имеют FULL_CONTROL для них установлены:
authc_config -u Administrator -p password -e find-all-permissions
Примечание.: Указанная учетная запись — это учетная запись/пароль администратора NetWorker.
3)Если имя группы администраторов NetWorker не указано, выполните следующую команду:
3)Если имя группы администраторов NetWorker не указано, выполните следующую команду:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Примечание.: Группа разрешений-dn должна содержать полное доменное имя группы, к которой необходимо добавить разрешения. Если вы не уверены в том, что группа DN не определена, см. поле Примечания для сбора этой информации.
Пример.
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) После добавления разрешения можно подтвердить изменения, выполнив команду find-all-permissions из шага 2.
5) Войдите в NMC, используя пользователя AD из группы, который только что добавил разрешения, и убедитесь, что вы можете просмотреть роли NMC или параметры пользователей NMC.
その他の情報
Для выполнения описанных выше процедур необходимо знать различающееся имя (DN) группы AD, к которым принадлежат пользователи AD. Это может подтвердить администратор AD, но его также можно собрать с помощью команд authc_config и authc_mgmt на сервере NetWorker. Для сбора этой информации также необходимо знать клиент и домен, настроенные для внешних аутентификаций LDAP AD:
1) Войдите на сервер NetWorker и откройте командную строку с повышенными привилегиями.
2) Проверьте, настроен ли клиент (в большинстве случаев используется по умолчанию):
3) После получения имени клиента можно выполнить следующую команду для запроса групп LDAP AD для конкретного пользователя AD:
Примере:
1) Войдите на сервер NetWorker и откройте командную строку с повышенными привилегиями.
2) Проверьте, настроен ли клиент (в большинстве случаев используется по умолчанию):
authc_config -u Administrator -p password -e find-all-tenants
Примечание.: Указанная учетная запись — это учетная запись/пароль администратора NetWorker.
Пример.
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Примечание.: Укажите имя клиента, которое было собрано с помощью команды на шаге 2. Имя домена должно совпадать с тем, как оно было указано при настройке внешней аутентификации LDAP AD. не обязательно домена, так как он отображается в запросе DNS. Укажите доменное имя так же, как при входе в NMC. Укажите пользователя AD для имени пользователя.
Примере:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Из этого вывода должно быть полное доменное имя группы AD, к которой необходимо добавить разрешения. Его можно скопировать и вставьте в поля «Внешние роли» в разделе «Роли NMC» и «Группы пользователей» сервера NetWorker. Его также можно использовать в команде FULL_CONTROL разрешений.
authc_config и authc_mgmt являются очень полезными командами для тестирования/настройки внешней аутентификации. Чтобы просмотреть все доступные параметры, выполните команды самостоятельно без флагов/коммутаторов.
authc_config и authc_mgmt являются очень полезными командами для тестирования/настройки внешней аутентификации. Чтобы просмотреть все доступные параметры, выполните команды самостоятельно без флагов/коммутаторов.
対象製品
NetWorker製品
NetWorker, NetWorker Management Console文書のプロパティ
文書番号: 000039819
文書の種類: Solution
最終更新: 16 7月 2025
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。