NetWorker: Falha de login do NMC para usuário do AD ou LDAP com "Você não tem privilégios para usar o NMC"
Resumo: Falha na autenticação do NetWorker Management Console (NMC) com um usuário do Active Directory (AD) ou do Lightweight Directory Access Protocol (LDAP). Uma mensagem será exibida informando "Você não tem privilégios para usar o NetWorker Management Console". O console pode ser acessado usando o administrador do NetWorker ou outra conta local do NMC. ...
Sintomas
- O seguinte erro é exibido ao tentar fazer login no NMC como um usuário externo (AD ou LDAP):
- Esse mesmo usuário do AD pode fazer log-in usando o
nsrloginOpção de linha de comando. - A autenticação é bem-sucedida com a conta padrão de administrador do NetWorker.
- Em algumas situações, esse erro pode afetar apenas usuários específicos.
nsrlogin
No servidor NetWorker, abra um prompt de comando (ou sessão SSH) e execute a seguinte sintaxe de comando:
nsrlogin -t tenant_name -t domain -u username nsrlogout
- Tenant_name: Na maioria das configurações, esse valor é padrão; caso contrário, é o nome do tenant configurado pelo administrador do NetWorker.
- Domain: O valor do prefixo de domínio usado ao fazer log-in no NMC
- Nome de usuário: Nome de usuário do AD ou LDAP sem prefixo de domínio
Causa
Resolução
- Faça log-in no NetWorker Management Console (NMC) como a conta padrão de administrador do NetWorker.
- Acesse Setup > Users and Roles > NMC Roles.
- Analise as funções Console Users e Application Administrators. Os campos de funções de funções externas devem conter o nome distinto (DN)
(caminho completo) de um grupo do AD ao qual o usuário pertence; opcionalmente, o caminho de um único usuário pode ser definido.
Por exemplo:
- Depois de adicionar o DN do grupo do AD às funções apropriadas do NMC para o usuário, teste o login no NMC com esse usuário do AD.
Mais informações
Se o problema persistir, você poderá verificar a associação de grupo do AD ou LDAP com as seguintes opções:
Windows PowerShell:
Em um sistema Windows no mesmo domínio, execute o seguinte comando do Powershell:
Get-ADPrincipalGroupMembership -Identity USERNAME
Exemplo:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin ... ... distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local GroupCategory : Security GroupScope : Global name : NetWorker_Admins objectClass : group objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa SamAccountName : NetWorker_Admins SID : S-1-5-21-4085282181-485696706-820049737-1104
O comando distinguishedName gerado pelo comando pode ser usado no NetWorker para conceder ao usuário do AD acesso ao NMC.
Para obter mais informações sobre esse comando, consulte o artigo Get-ADPrincipalGroupMembership
NetWorker da Microsoft authc_mgmt Comando:
Você pode usar o comando authc_mgmt para consultar membros de grupos ou usuários do AD ou LDAP. No servidor NetWorker, abra um prompt de comando (ou sessão SSH) e execute a seguinte sintaxe de comando:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
Nota: Você precisará digitar a senha da conta de administrador do NetWorker.
Por exemplo:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin Enter password: The query returns 2 records. Group Name Full Dn Name Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
O comando Full Dn Name de um dos grupos pode ser usado para conceder a esse usuário do AD acesso ao NMC.
A configuração e os valores necessários para authc_mgmt Os comandos podem ser coletados executando:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Consulte: NetWorker: Como configurar a autenticação do AD ou LDAP