NetWorker: NMC-inloggning misslyckas för AD- eller LDAP-användare med "Du har inte behörighet att använda NMC"

• Följande fel visas när du försöker logga in på NMC som en extern användare (AD eller LDAP):

• Samma AD-användare kan logga in med hjälp av nsrlogin kommandoradsalternativ.
• Autentiseringen lyckas för NetWorker-standardadministratörskontot.
• I vissa situationer kan det här felet bara påverka specifika användare.

nsrlogin

nsrlogin -t tenant_name -t domain -u username
nsrlogout

• Tenant_name: I de flesta konfigurationer är det här värdet standard. I annat fall är det klientorganisationens namn som konfigurerats av NetWorker-administratören.
• Domän: Domänprefixvärdet som används vid inloggning på NMC
• Användarnamn: AD- eller LDAP-användarnamn utan domänprefix

1. Logga in på NetWorker Management Console (NMC) som standardkonto för NetWorker-administratör.
2. Gå till Konfigurera > användare och roller > NMC-roller.
3. Granska rollerna Konsolanvändare och Programadministratörer . Fälten Externa rollroller ska innehålla det unika namnet (DN) (fullständig sökväg) för en AD-grupp som användaren tillhör. Om du vill kan du ange sökvägen till en enskild användare. 

Till exempel:

4. När du har lagt till AD-gruppens DN i lämpliga NMC-roller för användaren testar du att logga in på NMC med den AD-användaren.

Om problemet kvarstår kan du verifiera AD- eller LDAP-gruppmedlemskapet med följande alternativ:

Windows Powershell:

Från ett Windows-system på samma domän kör du följande PowerShell-kommando:

Get-ADPrincipalGroupMembership -Identity USERNAME

Exempel:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Informationen distinguishedName som matas ut av kommandot kan användas i NetWorker för att ge AD-användaren åtkomst till NMC.

Mer information om det här kommandot finns i Microsoft-artikeln Get-ADPrincipalGroupMembership 

NetWorker authc_mgmt Kommando:

Du kan använda authc_mgmt för att fråga AD- eller LDAP-användare eller gruppmedlemskap. Öppna en kommandotolk (eller SSH-session) på NetWorker-servern och kör följande kommandosyntax:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Informationen Full Dn Name för en av grupperna kan användas för att ge den här AD-användaren åtkomst till NMC.

Den konfiguration och de värden som behövs för authc_mgmt Kommandon kan samlas in genom att köra:

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants

Se: NetWorker: Så här ställer du in AD- eller LDAP-autentisering