NMC: Login AD/LDAP non riuscito "You dondon have privileges to use NetWorker Management Console"

摘要: L'autenticazione esterna (AD o LDAP) è integrata con NetWorker. L'accesso a NetWorker Management Console (NMC) come account esterno restituisce l'errore "You do not have privileges to use NetWorker Management Console". ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

  • L'autenticazione esterna (Microsoft Active Directory (AD) o LDAP (OpenLDAP) è stata aggiunta correttamente al servizio del server di autenticazione del server NetWorker.
  • Quando si tenta di accedere a NetWorker Management Console (NMC) con un account AD o LDAP, viene visualizzata una finestra di errore che indica "You dondons have privileges to use NetWorker Management Console"
L'accesso a NMC come utente di dominio non riesce con Non si dispone dei privilegi per utilizzare NetWorker Management Console

原因

Il servizio AUTHC di NetWorker riconosce l'utente in AD/LDAP, ma non dispone dei privilegi per accedere a NMC. Agli account esterni vengono in genere assegnati privilegi di accesso a NMC utilizzando i ruoli NMC. Questi ruoli si trovano quando si accede a NMC come account amministratore NetWorker predefinito. In Setup-Users>and Groups-NMC>Roles. Esistono tre ruoli predefiniti:
Ruoli di NetWorker Management Console (NMC)
  • Amministratori delle applicazioni Console: Consente all'utente/al gruppo di accedere a NMC ed eseguire report NMC. Gli utenti o i gruppi con privilegi di Application Administrator possono modificare la configurazione di NMC Enterprise.
  • Console Security Administrators: Concede all'utente/gruppo l'accesso per modificare le impostazioni utente e i gruppi nella configurazione di NMC Enterprise.
  • Utenti console: Concede all'utente/gruppo l'accesso per accedere a NMC ed eseguire NMC Reports; tuttavia, l'utente non può modificare le impostazioni di NMC Enterprise o accedere alle informazioni di sicurezza. 

Il sintomo in questo articolo della KB viene visualizzato quando:

  • Il nome distinto (DN) dell'utente o del gruppo AD/LDAP non è stato specificato nel campo dei ruoli esterni dei gruppi Console Application Administrators o Console Users.
  • L'utente AD/LDAP non appartiene a un gruppo AD/LDAP definito nel campo External roles dei gruppi Console Application Administrators o Console Users.
Il campo External Roles non contiene utenti o gruppi esterni

解决方案

1. Determinare quale host è il server NetWorker Authentication (AUTHC).

NOTA: Negli ambienti con un solo server NetWorker, il server NetWorker è in genere il server AUTHC. In rari casi, è possibile utilizzare il servizio AUTHC su un server console standalone. Negli ambienti che gestiscono più server NetWorker da una singola console, un solo server NetWorker è il server AUTHC.
  1. Nel server NetWorker Management Console (NMC), aprire il gstd.conf di NetWorker.

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (impostazione predefinita): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

  1. Il file gstd.conf contiene una stringa di authsvc_hostname che definisce il nome host e la porta utilizzati per l'elaborazione delle richieste di accesso in NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Aprire un prompt con privilegi elevati sul server AUTHC, determinare a quale gruppo AD appartiene l'utente:


È possibile utilizzare i seguenti metodi:

Metodo NetWorker:
Questo metodo determina a quali gruppi AD appartiene l'utente. Verifica inoltre se NetWorker è in grado di visualizzare l'utente o il gruppo. Se i percorsi di ricerca sono impostati nell'autorità esterna di NetWorker, AUTHC potrebbe non trovare utenti/gruppi al di fuori dei criteri definiti.
Utilizzare quanto segue: authc_mgmt per interrogare i gruppi AD a cui appartiene un utente: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • È possibile ottenere il nome del tenant con:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • È possibile ottenere il nome di dominio con:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Esempio:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Utilizzare il nome DN completo per assegnare le autorizzazioni nel passaggio 2.
 
Metodo Active Directory:
Questo metodo mostra il gruppo AD di un utente, ma non conferma la visibilità ad AUTHC se i filtri di ricerca nell'autorità esterna di NetWorker limitano l'accesso.
 
Aprire un prompt PowerShell di amministrazione sul server di dominio ed eseguire il seguente comando: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Esempio: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Utilizzare distinguishedName per assegnare le autorizzazioni nel passaggio 2.

3. Accedere a NMC con l'account amministratore NetWorker predefinito.
un. Passare a Setup-Users> and Roles-NMC> Roles.
b. Aprire il ruolo NMC Users e specificare il nome distinto dei gruppi AD nel campo External Roles:

Campo NMC Roles external roles

NOTA: Questa autorizzazione è sufficiente per l'accesso a NMC; tuttavia, l'utente non può eseguire attività amministrative nella schermata NMC Enterprise. Per trovare la corrispondenza con le autorizzazioni di NetWorker Administrator, impostare il DN del gruppo AD in External Roles per i ruoli Console Application e Console Security Administrator. I gruppi Application Administrators e Security Administrators contengono un ruolo esterno predefinito "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Non rimuoverli.

4. Prima di disconnettersi da NMC, verificare anche se il gruppo AD è stato definito in un gruppo di utenti del server NetWorker. Se l'utente non dispone delle autorizzazioni del server NetWorker, può accedere a NMC ma non visualizzerà i processi o le risorse dopo la connessione al server.

un. Mentre si è ancora connessi a NMC come amministratore NetWorker predefinito, connettersi al server NetWorker.
b. Arrivati a Server-Users> and Groups.
c. Aprire il gruppo di utenti con le autorizzazioni che si desidera applicare al gruppo AD.
d. Nel campo External Roles aggiungere il nome distinto del gruppo AD:

Campo User Groups external roles del server NetWorker

5. Tentare di accedere a NMC utilizzando l'account utente AD/LDAP:

Esempio di accesso a NMC come utente di dominio amer.lan\bkupadmin
 
(Facoltativo) Se si desidera che un gruppo AD/LDAP sia in grado di gestire autorità esterne, è necessario effettuare le seguenti operazioni sul server NetWorker per concedere all'utente o al gruppo AD FULL_CONTROL autorizzazioni.
un. Aprire un prompt dei comandi amministratore/radice.
b. Utilizzo del DN del gruppo AD che si desidera concedere FULL_CONTROL Autorizzazione per l'esecuzione: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Esempio: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

其他信息

受影响的产品

NetWorker

产品

NetWorker, NetWorker Management Console
文章属性
文章编号: 000031431
文章类型: Solution
上次修改时间: 27 10月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。