NMC:AD/LDAP 登入失敗「您沒有使用 NetWorker Management Console 的權限」
摘要: 外部驗證 (AD 或 LDAP) 已與 NetWorker 整合。以外部帳戶登入 NetWorker Management Console (NMC) 時,傳回錯誤「您沒有使用 NetWorker 管理主控台的權限」。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
- 外部驗證 (Microsoft Active Directory (AD) 或 LDAP (OpenLDAP) 已成功新增至 NetWorker 伺服器的驗證伺服器服務。
- 嘗試使用 AD 或 LDAP 帳戶登入 NetWorker Management Console (NMC) 時,會出現錯誤方塊,指出「您沒有使用 NetWorker 管理主控台的權限」
原因
NetWorker 的 AUTHC 服務可辨識 AD/LDAP 中的使用者,但他們缺乏存取 NMC 的權限。外部帳戶通常使用 NMC 角色獲得 NMC 的存取權限。以預設 NetWorker 系統管理員帳戶登入 NMC 時,就會找到這些角色。在「設定」>-「使用者」和「群組->NMC 角色」底下。有三個預設角色:
- 主控台應用程式系統管理員:授予使用者/群組存取權限,以登入 NMC 並執行 NMC 報告。具有應用程式系統管理員權限存取的使用者或群組可以變更 NMC Enterprise 組態。
- 主控台安全性管理員:授予使用者/組訪問許可權,以更改NMC企業配置中的用戶設置和組。
- 主控台使用者:授予使用者/組登錄 NMC 並運行 NMC 報告的訪問許可權;但是,使用者無法變更 NMC Enterprise 設定或存取安全性資訊。
此 KB 中的症狀會在下列情況出現:
- 未在主控台應用程式管理員或主控台使用者群組的外部角色欄位中指定 AD/LDAP 使用者或群組辨別名稱 (DN)。
- AD/LDAP 使用者不屬於在主控台應用程式系統管理員或主控台使用者群組的外部角色欄位中定義的 AD/LDAP 群組。
解决方案
1.判斷哪一個主機是 NetWorker Authentication (AUTHC) 伺服器。
注意:在具有單一 NetWorker 伺服器的環境中,NetWorker 伺服器通常是 AUTHC 伺服器。在極少數情況下,可能會使用獨立主控台伺服器上的 AUTHC 服務。在從單一主控台管理多個 NetWorker 伺服器的環境中,只有 1 個 NetWorker 伺服器是 AUTHC 伺服器。
- 在 NetWorker Management Console (NMC) 伺服器上,開啟
gstd.conf檔案中所定義。
Linux:/opt/lgtonmc/etc/gstd.conf
Windows (預設):C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
- gstd.conf 檔案包含authsvc_hostname字串,其中定義了用於處理 NMC 中登入要求的主機名稱和連接埠:
string authsvc_hostname = "lnx-nwserv.amer.lan";
int authsvc_port = 9090;
2.在 AUTHC 伺服器上開啟提升權限的提示,判斷使用者所屬的 AD 群組:
可以使用以下方法:
NetWorker 方法:
此方法確定用戶屬於哪個 AD 組。這也會確認 NetWorker 是否能看到使用者或群組。如果在 NetWorker 的外部授權中設定搜尋路徑,AUTHC 可能無法找到超出定義準則的使用者/群組。
使用下列方法
authc_mgmt 查詢使用者屬於哪個 AD 群組的命令:
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
- 可以使用以下方式獲取租戶名稱:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
- 您可以通過以下方式取得網域名稱:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
範例:
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1 default
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1 amer_ad
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id : 1
Config Tenant Id : 1
Config Name : amer_ad
Config Domain : amer.lan
Config Server Address : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute :
Config User ID Attribute : sAMAccountName
Config User Object Class : person
Config User Search Filter :
Config User Search Path :
Config Group Member Attribute: member
Config Group Name Attribute : cn
Config Group Object Class : group
Config Group Search Filter :
Config Group Search Path :
Config Object Class : objectclass
Is Active Directory : true
Config Search Subtree : true
[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
在步驟 2 中使用 完整 DN 名稱 分配許可權。
Active Directory 方法:
此方法會顯示使用者的 AD 群組,但如果 NetWorker 外部授權中的搜尋篩選器限制存取,則不會確認 AUTHC 的可見度。
在網域伺服器上開啟系統管理員 PowerShell 提示,然後執行下列命令:
Get-ADPrincipalGroupMembership AD_USERNAME
範例:
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin
distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory : Security
GroupScope : Global
name : NetWorker_Admins
objectClass : group
objectGUID : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName : NetWorker_Admins
SID : S-1-5-21-3150365795-1515931945-3124253046-9611
distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory : Security
GroupScope : Global
name : Domain Users
objectClass : group
objectGUID : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName : Domain Users
SID : S-1-5-21-3150365795-1515931945-3124253046-513
在步驟 2 中使用 區分名稱 來指派權限。
3.以預設 NetWorker 系統管理員帳戶登入 NMC。
一個。前往設定->使用者和角色->NMC角色。
b.開啟 NMC 使用者角色,並在外部角色欄位中指定 AD 群組辨別名稱:
b.開啟 NMC 使用者角色,並在外部角色欄位中指定 AD 群組辨別名稱:
注意:此許可權足以進行 NMC 訪問;但是,使用者無法在 NMC 企業畫面中執行任何管理工作。若要符合 NetWorker 系統管理員權限,請在「外部角色」中,為主控台應用程式和主控台安全性系統管理員角色設定 AD 群組 DN。應用程式管理員和安全性管理員群組包含預設的外部角色
"cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." 請勿移除這些。
4.從 NMC 中斷連線之前,也請確認 AD 群組是否已在 NetWorker 伺服器使用者群組中定義。如果使用者缺少 NetWorker 伺服器權限,他們可以登入 NMC,但在連線至伺服器後看不到工作或資源。
一個。在仍以預設 NetWorker 系統管理員身分登入 NMC 的情況下,連線至 NetWorker 伺服器。
b.到達伺服器>使用者和組。
c.開啟具有您想要套用至 AD 群組之權限的使用者群組。
d.在「外部角色」欄位中,追加 AD 組的可分辨名稱:
5.嘗試使用 AD/LDAP 使用者帳戶登入 NMC:
(選擇性) 如果您希望 AD/LDAP 群組能夠管理外部授權單位,您必須在 NetWorker 伺服器上執行下列步驟,以授予 AD 使用者或群組FULL_CONTROL權限。
一個。開啟系統管理/root 命令提示字元。
b.使用要授予的 AD 組 DN
b.使用要授予的 AD 組 DN
FULL_CONTROL 執行權限:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
範例:
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern Group DN
1 FULL_CONTROL ^cn=Administrators,cn=Groups.*$
2 FULL_CONTROL CN=NetWorker_Admins,dc=amer,dc=lan
其他信息
受影响的产品
NetWorker产品
NetWorker, NetWorker Management Console文章属性
文章编号: 000031431
文章类型: Solution
上次修改时间: 27 10月 2025
版本: 5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。