NetWorker:AD/LDAP 使用者看不到 NMC 使用者或 NMC 角色「無法從驗證服務取得使用者資訊 [Access is Denied]」
概要: 您可以使用 LDAP AD 使用者登入 NMC,但無法檢視 NMC 角色或 NMC 使用者。錯誤訊息「Unable to get user information from authentication service [Access is Denied]」(無法從驗證服務取得使用者資訊 [無法存取])。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
您可以使用 LDAP AD 使用者登入 NMC,但無法檢視 NMC 角色或 NMC 使用者。錯誤訊息「Unable to get user information from authentication service [Access is Denied]」(無法從驗證服務取得使用者資訊 [無法存取])。
原因
問題 1:NMC 角色「主控台安全管理員」和/或 NetWorker 伺服器使用者群組的「安全性管理員」
問題 2 中未指定 AD 群組 DN:NetWorker 外部驗證組態有不正確或遺失的「組態使用者群組屬性」。
問題 3:尚未授予FULL_CONTROL管理許可權的 AD 群組 DN。
問題 2 中未指定 AD 群組 DN:NetWorker 外部驗證組態有不正確或遺失的「組態使用者群組屬性」。
問題 3:尚未授予FULL_CONTROL管理許可權的 AD 群組 DN。
解決方法
問題 1:
1) 以預設的NetWorker 系統管理員帳戶登入 NMC。
2) 移至「Setup-- > Users and Roles-- > NMC Roles」。
3) 開啟主控台安全性管理員和主控台應用程式管理員角色的屬性。
4) 在「外部角色」欄位中,應指定 NetWorker 系統管理員 AD 群組的辨別名稱(DN)。
注意:如果您不確定是否指定 DN,請參閱「備註」欄位,瞭解收集此資訊時可完成的步驟。AD 群組 DN 也應新增至對應的 NetWorker 伺服器使用者 群組的「外部角色」欄位。從 NMC 連線至 NetWorker 伺服器作為預設 NetWorker 系統管理員帳戶,然後前往Server-- > User Groups。如果沒有這個,您將能夠以 AD 使用者身分登入 NMC,但無法連線至 NetWorker 伺服器。
例子:
在此例項中,「組態使用者群組屬性」為空白。針對 AD 式驗證,此欄位應設為MemberOf。如果此欄位為空白或有其他值,請完成下列:
2) 若要透過命令更新此值,請執行下列步驟:
1) 以預設的NetWorker 系統管理員帳戶登入 NMC。
2) 移至「Setup-- > Users and Roles-- > NMC Roles」。
3) 開啟主控台安全性管理員和主控台應用程式管理員角色的屬性。
4) 在「外部角色」欄位中,應指定 NetWorker 系統管理員 AD 群組的辨別名稱(DN)。
注意:如果您不確定是否指定 DN,請參閱「備註」欄位,瞭解收集此資訊時可完成的步驟。AD 群組 DN 也應新增至對應的 NetWorker 伺服器使用者 群組的「外部角色」欄位。從 NMC 連線至 NetWorker 伺服器作為預設 NetWorker 系統管理員帳戶,然後前往Server-- > User Groups。如果沒有這個,您將能夠以 AD 使用者身分登入 NMC,但無法連線至 NetWorker 伺服器。
例子:
5) NetWorker 系統管理員的 AD 群組 DN 新增至兩個角色後。以屬於新增群組的 AD 使用者身分登入 NMC,並確認您是否能夠看到 NMC 使用者和 NMC 角色組態。
問題 2:
1) 使用組態 ID 檢查現有的組態:
問題 2:
1) 使用組態 ID 檢查現有的組態:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
注意:指定的帳號是 NetWorker 系統管理員帳戶/密碼。將號碼替換為在第一個命令中收集的組態 ID。
例子:
例子:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
在此例項中,「組態使用者群組屬性」為空白。針對 AD 式驗證,此欄位應設為MemberOf。如果此欄位為空白或有其他值,請完成下列:
2) 若要透過命令更新此值,請執行下列步驟:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
注意:在某些系統中,您將無法更新個別值。如果您收到上述命令的錯誤,建議您使用下方找到的腳本範本:
Linux:/opt/nsr/authc-server/bin
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\bin
注意:上述 Windows 路徑假設已使用預設的 NetWorker 安裝路徑。
注意:上述 Windows 路徑假設已使用預設的 NetWorker 安裝路徑。
如果使用腳本,您可以將「-e add-config」變更為「-e update-config」,並根據您的環境填入其餘欄位。在腳本範本中,組態使用者群組屬性應設為「-D」「config-user-group-attr=memberOf」(預設值)。組態更新後,您應該會看到以下變更:authc_config -u Administrator -p password -e find-config -D config-id=#
例子:
例子:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) 登出 NMC,然後與 AD 使用者一起登入
問題 3:
在某些情況下,即使將 AD 群組 DN 新增至主控台安全性管理員和主控台應用程式管理員的「外部角色」欄位,您仍會收到「Access Denied」錯誤。FULL_CONTROL許可權可新增至 NetWorker 系統管理員 AD 群組。
1) 在 NetWorker 伺服器
2 上開啟提升的命令提示字元) 確認哪些 AD 群組已設定FULL_CONTROL許可權:
在某些情況下,即使將 AD 群組 DN 新增至主控台安全性管理員和主控台應用程式管理員的「外部角色」欄位,您仍會收到「Access Denied」錯誤。FULL_CONTROL許可權可新增至 NetWorker 系統管理員 AD 群組。
1) 在 NetWorker 伺服器
2 上開啟提升的命令提示字元) 確認哪些 AD 群組已設定FULL_CONTROL許可權:
authc_config -u Administrator -p password -e find-all-permissions
注意:指定的帳號是 NetWorker 系統管理員帳戶/密碼。
3)如果未指定 NetWorker 系統管理員群組的 DN,請執行下列命令:
3)如果未指定 NetWorker 系統管理員群組的 DN,請執行下列命令:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
注意:permission-group-dn 應包含您要新增許可權的群組完整 DN。如果您不確定群組 DN,請參閱「備註」欄位以收集此資訊。
範例:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) 新增許可權後,您可以執行步驟 2 的「find-all-permissions」命令來確認變更。
5) 以屬於您剛新增許可權的群組的 AD 使用者登入 NMC,並確認您是否能夠看到 NMC 角色或 NMC 使用者設定。
その他の情報
上述程式需要瞭解 AD 使用者所屬 AD 群組的辨別名稱 (DN)。您的 AD 系統管理員可以確認這一點,但也可以在 NetWorker 伺服器上使用authc_config和authc_mgmt命令加以收集。為了收集此資訊,您也必須知道為您的 LDAP AD 外部驗證設定的租使用者和網域:
1) 登入 NetWorker 伺服器並開啟提升的命令提示字元。
2) 確認是否已設定租使用者 (在大多數情況下默認值):
3) 取得租戶名稱後,您可以執行下列命令,以查詢特定 AD 使用者的 LDAP AD 群組:
例子:
1) 登入 NetWorker 伺服器並開啟提升的命令提示字元。
2) 確認是否已設定租使用者 (在大多數情況下默認值):
authc_config -u Administrator -p password -e find-all-tenants
注意:指定的帳號是 NetWorker 系統管理員帳戶/密碼。
範例:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D 「query-tenant=tenant-name」 -D 「query-domain=domain-name」 -D 「user-name=ad-user」
注意:指定步驟 2 中從命令收集的租使用者名稱。域 名必須符合設定 LDAP AD 外部驗證時的指定方式;不一定為網域,因為它會顯示在 DNS 查詢中。如您登入 NMC 時所要指定的功能變數名稱。為使用者名稱指定 AD 使用者。
例子:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
從此輸出中,您現在應擁有要新增許可權的 AD 群組完整 DN 名稱。這可以複製並貼到 NMC 角色和 NetWorker 伺服器使用者群組的「外部角色」欄位中。它也可以在 FULL_CONTROL 許可權命令中使用。
authc_config和authc_mgmt是用於測試/設定外部驗證的非常實用的命令。若要查看所有可用的選項,請自行執行命令,沒有旗標/交換器。
authc_config和authc_mgmt是用於測試/設定外部驗證的非常實用的命令。若要查看所有可用的選項,請自行執行命令,沒有旗標/交換器。
対象製品
NetWorker製品
NetWorker, NetWorker Management Console文書のプロパティ
文書番号: 000039819
文書の種類: Solution
最終更新: 16 7月 2025
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。