NMC: Falha no login do AD/LDAP "Você não tem privilégios para usar o NetWorker Management Console"

摘要: A autenticação externa (AD ou LDAP) é integrada ao NetWorker. Fazer log-in no NetWorker Management Console (NMC) como uma conta externa retorna o erro "Você não tem privilégios para usar o NetWorker Management Console". ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

  • A autenticação externa (Microsoft Active Directory (AD) ou LDAP (OpenLDAP) foi adicionada com sucesso ao serviço do servidor de autenticação do servidor do NetWorker.
  • Ao tentar fazer log-in no NetWorker Management Console (NMC) com uma conta do AD ou LDAP, uma caixa de erro será exibida informando "Você não tem privilégios para usar o NetWorker Management Console"
O login no NMC como usuário de domínio falha com Você não tem privilégios para usar o NetWorker Management Console

原因

O serviço AUTHC do NetWorker reconhece o usuário no AD/LDAP, mas ele não tem privilégios para acessar o NMC. Contas externas normalmente recebem privilégios de acesso ao NMC usando funções do NMC. Essas funções são encontradas ao fazer log-in no NMC como a conta padrão de administrador do NetWorker. Em Setup-Users>and Groups-NMC>roles. Há três funções padrão:
Funções do NetWorker Management Console (NMC)
  • Administradores de aplicativos do console: Dá ao usuário/grupo acesso para fazer log-in no NMC e executar relatórios do NMC. Usuários ou grupos com acesso a privilégios de administradores de aplicativos podem alterar a configuração do NMC Enterprise.
  • Administradores de segurança do console: Concede ao usuário/grupo acesso para alterar as configurações de usuário e os grupos na configuração do NMC Enterprise.
  • Usuários do console: Dá ao usuário/grupo acesso para fazer log-in no NMC e executar relatórios do NMC; no entanto, o usuário não pode alterar as configurações do NMC Enterprise ou acessar informações de segurança. 

O sintoma neste artigo da KB é exibido quando:

  • O nome distinto (DN) do usuário ou grupo do AD/LDAP não foi especificado no campo de funções externas dos grupos Administradores de aplicativos do console ou Usuários do console.
  • O usuário do AD/LDAP não pertence a um grupo do AD/LDAP, que é definido no campo de funções externas dos grupos Administradores de aplicativos do console ou Usuários do console.
O campo External Roles não contém usuários ou grupos externos

解决方案

1. Determine qual host é o servidor de autenticação do NetWorker (AUTHC).

Nota: Em ambientes com um único servidor NetWorker, o servidor NetWorker é tipicamente o servidor AUTHC. Em casos raros, o serviço AUTHC em um servidor de console independente pode ser usado. Em ambientes que gerenciam vários servidores NetWorker a partir de um único console, apenas um servidor NetWorker é o servidor AUTHC.
  1. No servidor NetWorker Management Console (NMC), abra o gstd.conf .

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (padrão): C:\Arquivos de Programas\EMC NetWorker\Management\GST\etc\gstd.conf

  1. O arquivo gstd.conf contém uma string authsvc_hostname, que define o nome de host e a porta usada para processar solicitações de log-in no NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Abra um prompt elevado no servidor AUTHC e determine a qual grupo do AD o usuário pertence:


Os seguintes métodos podem ser usados:

Método do NetWorker:
Esse método determina a quais grupos do AD o usuário pertence. Ele também confirma se o NetWorker pode ver o usuário ou grupo. Se os caminhos de pesquisa forem definidos na autoridade externa do NetWorker, o AUTHC poderá não localizar usuários/grupos fora dos critérios definidos.
Use o seguinte authc_mgmt comando para consultar a quais grupos do AD um usuário pertence: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Você pode obter o nome do locatário com:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Você pode obter o nome de domínio com:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Exemplo:  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Use o nome completo do DN para atribuir permissões na etapa 2.
 
Método do Active Directory:
Esse método mostra o grupo do AD de um usuário, mas não confirma a visibilidade para o AUTHC se os filtros de pesquisa na autoridade externa do NetWorker limitam o acesso.
 
Abra um prompt Admin do PowerShell no servidor de domínio e execute o seguinte comando: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Exemplo: 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Use o distinguishedName para atribuir permissões na etapa 2.

3. Faça log-in no NMC como a conta padrão de administrador do NetWorker.
um. Acesse Setup-Users> e Roles-NMC> Roles.
b. Abra a função Usuários do NMC e especifique o nome distinto dos grupos do AD no campo Funções externas:

Campo Funções externas do NMC

Nota: Essa permissão é suficiente para acesso ao NMC; no entanto, o usuário não pode executar nenhuma tarefa administrativa na tela Enterprise do NMC. Para corresponder às permissões de administrador do NetWorker, defina o DN do grupo do AD em funções externas para as funções de aplicativo do console e administrador de segurança do console. Os grupos administradores de aplicativos e administradores de segurança contêm uma função externa padrão "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Não os remova.

4. Antes de se desconectar do NMC, confirme também se o grupo do AD foi definido em um grupo de usuários do servidor do NetWorker. Se o usuário não tiver permissões de servidor do NetWorker, ele poderá fazer log-in no NMC, mas não verá trabalhos ou recursos depois de se conectar ao servidor.

um. Enquanto ainda estiver conectado ao NMC como administrador padrão do NetWorker, conecte-se ao servidor do NetWorker.
b. Acesse Server-Users> e Groups.
c. Abra o grupo de usuários que tem as permissões que você deseja aplicar ao grupo do AD.
d. No campo External Roles, acrescente o nome distinto do grupo do AD:

Campo de funções externas Grupos de usuários do servidor do NetWorker

5. Tente fazer log-in no NMC usando a conta de usuário do AD/LDAP:

Exemplo de login no NMC como usuário de domínio amer.lan\bkupadmin
 
(Opcional) Se quiser que um grupo do AD/LDAP possa gerenciar autoridades externas, execute o seguinte no servidor do NetWorker para conceder permissões de FULL_CONTROL ao usuário ou grupo do AD.
um. Abra um prompt de comando administrativo/raiz.
b. Usando o DN de grupo do AD que você deseja conceder FULL_CONTROL Permissão para executar: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Exemplo: 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

其他信息

受影响的产品

NetWorker

产品

NetWorker, NetWorker Management Console
文章属性
文章编号: 000031431
文章类型: Solution
上次修改时间: 27 10月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。