NetWorker: AD/LDAP 사용자가 NMC 사용자 또는 NMC 역할을 볼 수 없음 "Unable to get user information from authentication service [Access is Denied]"
요약: LDAP AD 사용자로 NMC에 로그인할 수 있지만 NMC 역할 또는 NMC 사용자를 볼 수는 없습니다. "Unable to get user information from authentication service [Access is Denied]" 오류 메시지가 나타납니다.
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
LDAP AD 사용자로 NMC에 로그인할 수 있지만 NMC 역할 또는 NMC 사용자를 볼 수는 없습니다. "Unable to get user information from authentication service [Access is Denied]" 오류 메시지가 나타납니다.
원인
문제 1: AD 그룹 DN은 NMC 역할 "콘솔 보안 관리자" 및/또는 NetWorker 서버 사용자 그룹의 "Security Administrators"
문제 2에 지정되지 않습니다. NetWorker 외부 인증 구성에 "Config User Group Attribute"가 잘못되었거나 누락되었습니다.
문제 3: FULL_CONTROL 관리 권한이 부여되지 않은 AD 그룹 DN입니다.
문제 2에 지정되지 않습니다. NetWorker 외부 인증 구성에 "Config User Group Attribute"가 잘못되었거나 누락되었습니다.
문제 3: FULL_CONTROL 관리 권한이 부여되지 않은 AD 그룹 DN입니다.
해결
문제 1:
1) NMC에 기본 NetWorker Administrator 계정으로 로그인합니다.
2) Setup-Users and Roles-->>NMC Roles로 이동합니다.
3) 콘솔 보안 관리자 및 콘솔 애플리케이션 관리자 역할의 속성을 엽니다.
4) External Roles 필드에서 NetWorker 관리자를 위한 AD 그룹의 DN(Distinguished Name)을 지정해야 합니다.
참고: 지정되는 DN이 확실하지 않은 경우 이 정보를 수집하기 위해 완료할 수 있는 단계는 Notes 필드를 참조하십시오. AD 그룹 DN도 해당 NetWorker 서버의 사용자 그룹의 외부 역할 필드에 추가해야 합니다. NMC에서 기본 NetWorker Administrator 계정으로 NetWorker 서버에 연결하고 Server-->User Groups로 이동합니다. 이 기능을 사용하지 않으면 NMC에 AD 사용자로 로그인할 수 있지만 NetWorker 서버에는 연결할 수 없습니다.
예제:
이 경우 "Config User Group Attribute"가 비어 있습니다. AD 기반 인증의 경우 이 필드를 memberOf로 설정해야 합니다. 이 필드가 비어 있거나 다른 값이 있는 경우 다음을 완료합니다.
2) 명령을 통해 이 값을 업데이트하려면 다음을 실행합니다.
1) NMC에 기본 NetWorker Administrator 계정으로 로그인합니다.
2) Setup-Users and Roles-->>NMC Roles로 이동합니다.
3) 콘솔 보안 관리자 및 콘솔 애플리케이션 관리자 역할의 속성을 엽니다.
4) External Roles 필드에서 NetWorker 관리자를 위한 AD 그룹의 DN(Distinguished Name)을 지정해야 합니다.
참고: 지정되는 DN이 확실하지 않은 경우 이 정보를 수집하기 위해 완료할 수 있는 단계는 Notes 필드를 참조하십시오. AD 그룹 DN도 해당 NetWorker 서버의 사용자 그룹의 외부 역할 필드에 추가해야 합니다. NMC에서 기본 NetWorker Administrator 계정으로 NetWorker 서버에 연결하고 Server-->User Groups로 이동합니다. 이 기능을 사용하지 않으면 NMC에 AD 사용자로 로그인할 수 있지만 NetWorker 서버에는 연결할 수 없습니다.
예제:
5) NetWorker 관리자의 AD 그룹의 DN이 두 역할에 모두 추가되면 새로 추가된 그룹에 속한 AD 사용자로 NMC에 로그인하고 NMC 사용자 및 NMC 역할 구성을 볼 수 있는지 확인합니다.
문제 2:
1) 구성 ID를 사용하여 기존 구성을 확인합니다.
문제 2:
1) 구성 ID를 사용하여 기존 구성을 확인합니다.
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
참고: 지정되는 계정은 NetWorker Administrator 계정/암호입니다. 첫 번째 명령에서 수집된 구성 ID로 #를 교체합니다.
예제:
예제:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
이 경우 "Config User Group Attribute"가 비어 있습니다. AD 기반 인증의 경우 이 필드를 memberOf로 설정해야 합니다. 이 필드가 비어 있거나 다른 값이 있는 경우 다음을 완료합니다.
2) 명령을 통해 이 값을 업데이트하려면 다음을 실행합니다.
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
참고: 일부 시스템에서는 개별 값을 업데이트할 수 없습니다. 위의 명령으로 오류가 발생하는 경우 다음 아래에 있는 스크립트 템플릿을 사용하는 것이 좋습니다.
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
참고: 위의 Windows 경로는 기본 NetWorker 설치 경로가 사용된 것으로 가정합니다.
참고: 위의 Windows 경로는 기본 NetWorker 설치 경로가 사용된 것으로 가정합니다.
스크립트를 사용하는 경우 "-e add-config"를 "-e update-config"로 변경하고 환경에 따라 나머지 필드를 채울 수 있습니다. 구성 사용자 그룹 속성은 스크립트 템플릿에서 "-D "config-user-group-attr=memberOf"로 설정되어야 합니다(기본적으로). 구성이 업데이트되면 다음과 같은 변경 사항이 표시됩니다. authc_config -u Administrator -p password -e find-config -D config-id=#
예제:
예제:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) NMC에서 로그아웃하고 AD 사용자와 다시 로그인
문제 3:
콘솔 보안 관리자 및 콘솔 애플리케이션 관리자의 외부 역할 필드에 AD 그룹 DN을 추가한 후에도 "Access Denied" 오류가 발생하는 경우도 있습니다. FULL_CONTROL 권한을 NetWorker 관리자 AD 그룹에 추가할 수 있습니다.
1) NetWorker 서버
에서 상승된 명령 프롬프트를 엽니다. 2) FULL_CONTROL 권한이 설정된 AD 그룹을 확인합니다.
콘솔 보안 관리자 및 콘솔 애플리케이션 관리자의 외부 역할 필드에 AD 그룹 DN을 추가한 후에도 "Access Denied" 오류가 발생하는 경우도 있습니다. FULL_CONTROL 권한을 NetWorker 관리자 AD 그룹에 추가할 수 있습니다.
1) NetWorker 서버
에서 상승된 명령 프롬프트를 엽니다. 2) FULL_CONTROL 권한이 설정된 AD 그룹을 확인합니다.
authc_config -u Administrator -p password -e find-all-permissions
참고: 지정되는 계정은 NetWorker Administrator 계정/암호입니다.
3)NetWorker 관리자 그룹의 DN이 지정되지 않은 경우 다음 명령을 실행합니다.
3)NetWorker 관리자 그룹의 DN이 지정되지 않은 경우 다음 명령을 실행합니다.
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
참고: permission-group-dn에는 사용 권한을 추가하려는 그룹의 전체 DN이 포함되어야 합니다. 그룹 DN이 확실하지 않은 경우 이 정보를 수집하기 위한 Notes 필드를 참조하십시오.
예:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) 사용 권한이 추가되면 2단계에서 find-all-permissions 명령을 실행하여 변경 사항을 확인할 수 있습니다.
5) 방금 사용 권한을 추가한 그룹에 속한 AD 사용자를 사용하여 NMC에 로그인하고 NMC 역할 또는 NMC 사용자 설정을 볼 수 있는지 확인합니다.
추가 정보
위의 절차를 수행하려면 AD 사용자가 속한 AD 그룹의 DN(Distinguished Name)을 알고 있어야 합니다. 이는 AD 관리자가 확인할 수 있지만 NetWorker 서버에서 authc_config 및 authc_mgmt 명령을 사용하여 수집할 수도 있습니다. 이 정보를 수집하려면 LDAP AD 외부 인증에 대해 구성된 테넌트 및 도메인도 알아야 합니다.
1) NetWorker 서버에 로그인하고 상승된 명령 프롬프트를 엽니다.
2) 테넌트 구성 여부를 확인합니다(대부분의 경우 기본값이 사용됨).
3) 테넌트 이름이 있으면 다음 명령을 실행하여 특정 AD 사용자에 대해 LDAP AD 그룹을 쿼리할 수 있습니다.
예제:
1) NetWorker 서버에 로그인하고 상승된 명령 프롬프트를 엽니다.
2) 테넌트 구성 여부를 확인합니다(대부분의 경우 기본값이 사용됨).
authc_config -u Administrator -p password -e find-all-tenants
참고: 지정되는 계정은 NetWorker Administrator 계정/암호입니다.
예:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
참고: 2단계의 명령에서 수집된 테넌트 이름을 지정합니다. 도메인 이름은 LDAP AD 외부 인증을 구성할 때 지정한 방식과 일치해야 합니다. DNS 쿼리에 나타나는 도메인이 아닙니다. NMC에 로그인할 때와 마찬가지로 도메인 이름을 지정합니다. 사용자 이름에 대한 AD 사용자를 지정합니다.
예제:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
이 출력에서 사용 권한을 추가하려는 AD 그룹의 전체 DN 이름이 있어야 합니다. 이를 복사하여 NMC 역할 및 NetWorker 서버의 사용자 그룹의 외부 역할 필드에 붙여 넣을 수 있습니다. FULL_CONTROL 사용 권한 명령에서도 사용할 수 있습니다.
authc_config 및 authc_mgmt 외부 인증을 테스트/구성하는 데 매우 유용한 명령입니다. 사용 가능한 모든 옵션을 보려면 플래그/스위치 없이 자체 명령을 실행합니다.
authc_config 및 authc_mgmt 외부 인증을 테스트/구성하는 데 매우 유용한 명령입니다. 사용 가능한 모든 옵션을 보려면 플래그/스위치 없이 자체 명령을 실행합니다.
해당 제품
NetWorker제품
NetWorker, NetWorker Management Console문서 속성
문서 번호: 000039819
문서 유형: Solution
마지막 수정 시간: 16 7월 2025
버전: 5
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.