NetWorker. Сбой входа в NMC для пользователя AD или LDAP с сообщением «У вас нет прав для использования NMC»

• При попытке войти в NMC в качестве внешнего пользователя (AD или LDAP) появляется следующая ошибка:

• Этот же пользователь AD может войти в систему с помощью команды nsrlogin Параметр командной строки.
• Аутентификация успешно выполняется для учетной записи администратора NetWorker по умолчанию.
• В некоторых случаях эта ошибка может затрагивать только определенных пользователей.

nsrlogin

nsrlogin -t tenant_name -t domain -u username
nsrlogout

• Tenant_name: В большинстве конфигураций это значение установлено по умолчанию; в противном случае это имя клиента, настроенное администратором NetWorker.
• Домен: Значение префикса домена, используемое при входе в NMC
• Имя пользователя: Имя пользователя AD или LDAP без префикса домена

1. Войдите в NetWorker Management Console (NMC) как учетная запись администратора NetWorker по умолчанию.
2. Перейдите в раздел Настройка > пользователей и ролей > Роли NMC.
3. Рассмотрите роли Console Users и Application Administrators. Поля ролей внешних ролей должны содержать отличительное имя (DN) (полный путь) группы AD, к которой принадлежит пользователь. При необходимости можно задать путь для одного пользователя. 

Пример.

4. После добавления различающегося имени группы AD в соответствующие роли NMC для пользователя выполните тестовый вход в NMC с этим пользователем AD.

Если проблема не устранена, можно проверить членство в группах AD или LDAP с помощью следующих параметров:

Windows PowerShell:

В системе с Windows в том же домене выполните следующую команду PowerShell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Пример:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Переменная distinguishedName можно использовать в NetWorker для предоставления пользователю AD доступа к NMC.

Дополнительные сведения об этой команде см. в статье Microsoft Get-ADPrincipalGroupMembership 

NetWorker authc_mgmt Команда.

Можно использовать команду authc_mgmt для запроса членства пользователя или группы AD или LDAP. На сервере NetWorker откройте командную строку (или сеанс SSH) и выполните следующую команду:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Переменная Full Dn Name одной из групп может быть использован для предоставления данному пользователю AD доступа к NMC.

Конфигурация и значения, необходимые для authc_mgmt Команды можно собрать, выполнив:

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants

Видеть: NetWorker. Настройка аутентификации AD или LDAP