NMC. Ошибка входа в AD/LDAP «У вас нет прав на использование NetWorker Management Console»

摘要: Внешняя проверка подлинности (AD или LDAP) интегрирована с NetWorker. При входе в NetWorker Management Console (NMC) с использованием внешней учетной записи возвращается ошибка «У вас нет прав на использование NetWorker Management Console». ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

  • Внешняя проверка подлинности (Microsoft Active Directory (AD) или LDAP (OpenLDAP) успешно добавлена в службу сервера проверки подлинности сервера NetWorker.
  • При попытке входа в NetWorker Management Console (NMC) с учетной записью AD или LDAP появляется окно с сообщением об ошибке: «У вас нет прав на использование NetWorker Management Console»
При входе в NMC в качестве пользователя домена происходит сбой с ошибкой У вас нет прав на использование NetWorker Management Console

原因

Служба AUTHC NetWorker распознает пользователя в AD/LDAP, но у него нет прав для доступа к NMC. Внешние учетные записи обычно получают права доступа к NMC с помощью ролей NMC. Эти роли обнаруживаются при входе в NMC в качестве учетной записи администратора NetWorker по умолчанию. В разделе Setup-Users>and Groups-NMC>Roles. По умолчанию предусмотрены три роли:
Роли консоли управления NetWorker Management Console (NMC)
  • Администраторы консольных приложений. Предоставляет пользователю/группе доступ для входа в NMC и запуска отчетов NMC. Пользователи или группы с правами администратора приложений могут изменять конфигурацию NMC Enterprise.
  • Администраторы безопасности консоли: Предоставляет пользователю/группе доступ к изменению пользовательских настроек и групп в конфигурации NMC Enterprise.
  • Пользователи консоли: Предоставляет пользователю/группе доступ для входа в NMC и запуска отчетов NMC. Однако пользователь не может изменять настройки NMC Enterprise или получать доступ к сведениям о безопасности. 

Признак, описанный в этой статье базы знаний, появляется в следующих случаях.

  • Отличительное имя (DN) пользователя или группы AD/LDAP не было указано в поле внешних ролей групп «Администраторы консольных приложений» или «Пользователи консоли».
  • Пользователь AD/LDAP не принадлежит к группе AD/LDAP, которая определяется в поле «Внешние роли» групп «Администраторы консольных приложений» или «Пользователи консоли».
Поле «Внешние роли» не содержит внешних пользователей или групп

解决方案

1. Определите, какой хост является сервером аутентификации NetWorker (AUTHC).

ПРИМЕЧАНИЕ. В средах с одним сервером NetWorker сервером NetWorker обычно является сервер AUTHC. В редких случаях может использоваться служба AUTHC на автономном консольном сервере. В средах, управляющих несколькими серверами NetWorker с одной консоли, только один сервер NetWorker является сервером AUTHC.
  1. На сервере NetWorker Management Console (NMC) откройте gstd.conf .

Linux: /opt/lgtonmc/etc/gstd.conf
Windows (по умолчанию): C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf

  1. Файл gstd.conf содержит строку authsvc_hostname, определяющую имя хоста и порт, используемые для обработки запросов на вход в NMC:
string authsvc_hostname = "lnx-nwserv.amer.lan";
    int authsvc_port = 9090;

2. Откройте запрос с повышенными привилегиями на сервере AUTHC, определите, к какой группе AD принадлежит пользователь.


Можно использовать следующие методы:

Метод NetWorker.
Этот метод определяет, к каким группам AD принадлежит пользователь. Он также подтверждает, может ли NetWorker видеть пользователя или группу. Если пути поиска заданы во внешнем авторитете NetWorker, AUTHC может не найти пользователей/группы за пределами заданных критериев.
Используйте следующее authc_mgmt для запроса о том, к каким группам AD принадлежит пользователь: 
authc_mgmt -u Administrator -p 'NMC_ADMIN_PASS' -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=AD_USERNAME
  • Имя пользователя можно получить с помощью:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-tenants
  • Вы можете получить доменное имя с помощью:
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-all-configs
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e find-config -D config-id=CONFIG_ID
Пример.  
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-tenants
The query returns 1 records.
Tenant Id Tenant Name
1         default

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-configs
The query returns 1 records.
Config Id Config Name
1         amer_ad

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-config -D config-id=1
Config Id                    : 1
Config Tenant Id             : 1
Config Name                  : amer_ad
Config Domain                : amer.lan
Config Server Address        : ldaps://dc.amer.lan:636/dc=amer,dc=lan
Config User DN               : CN=Administrator,CN=Users,dc=amer,dc=lan
Config User Group Attribute  :
Config User ID Attribute     : sAMAccountName
Config User Object Class     : person
Config User Search Filter    :
Config User Search Path      :
Config Group Member Attribute: member
Config Group Name Attribute  : cn
Config Group Object Class    : group
Config Group Search Filter   :
Config Group Search Path     :
Config Object Class          : objectclass
Is Active Directory          : true
Config Search Subtree        : true

[root@lnx-nwserv]:~# authc_mgmt -u Administrator -p '!Password1' -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=amer.lan -D user-name=bkupadmin
The query returns 1 records.
Group Name   Full Dn Name
NetWorker_Admins CN=NetWorker_Admins,DC=amer,DC=lan
Используйте полное имя Dn для назначения разрешений на шаге 2.
 
Метод Active Directory:
Этот метод отображает группу AD пользователя, но не подтверждает видимость для AUTHC, если фильтры поиска во внешнем авторитете NetWorker ограничивают доступ.
 
Откройте командную строку PowerShell администратора на сервере домена и выполните следующую команду: 
Get-ADPrincipalGroupMembership AD_USERNAME
 
Пример. 
PS C:\Users\Administrator> Get-ADPrincipalGroupMembership bkupadmin

distinguishedName : CN=NetWorker_Admins,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : c5c1bb45-88b4-4baa-afc3-9f1c28605d4a
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-3150365795-1515931945-3124253046-9611

distinguishedName : CN=Domain Users,CN=Users,DC=amer,DC=lan
GroupCategory     : Security
GroupScope        : Global
name              : Domain Users
objectClass       : group
objectGUID        : 5c648708-a9ee-483c-b92d-bc37e93280f4
SamAccountName    : Domain Users
SID               : S-1-5-21-3150365795-1515931945-3124253046-513
Используйте differentedName для назначения разрешений на шаге 2.

3. Войдите в NMC как учетная запись администратора NetWorker по умолчанию.
a. Перейдите в раздел Setup-Users> и Roles-NMC> Roles.
b. Откройте роль Пользователи NMC и укажите отличительное имя групп Active Directory в поле Внешние роли:

Поле «Внешние роли NMC Roles»

ПРИМЕЧАНИЕ. Этого разрешения достаточно для доступа NMC; однако пользователь не может выполнять какие-либо административные задачи на корпоративном экране NMC. Чтобы соответствовать разрешениям администратора NetWorker, задайте различающееся имя группы AD в разделе Внешние роли для ролей Приложение консоли и Администратора безопасности консоли. Группы «Администраторы приложений» и «Администраторы безопасности» содержат внешнюю роль по умолчанию "cn=Administrators,cn=Groups,dc=NETWORKER_SERVER_HOSTNAME,dc=DOMAIN_COMPONENT1,dc=DOMAIN_COMPONENT2." Не удаляйте их.

4. Перед отключением от NMC также убедитесь, что группа AD определена в группе пользователей сервера NetWorker. Если у пользователя нет разрешений сервера NetWorker, он может войти в NMC, но не будет видеть задания или ресурсы после подключения к серверу.

a. Все еще войдя в NMC в качестве администратора NetWorker по умолчанию, подключитесь к серверу NetWorker.
b. Добрался до сервера-пользователи> и группы.
c. Откройте раздел Группа пользователей, для которой есть разрешения, которые необходимо применить к группе AD.
d. В поле Внешние роли добавьте отличительное имя группы AD:

Поле «Внешние роли групп пользователей сервера NetWorker»

5. Попытайтесь войти в NMC с помощью учетной записи пользователя AD/LDAP:

Пример входа в NMC в качестве пользователя домена amer.lan\bkupadmin
 
(Дополнительный) Если вы хотите, чтобы группа AD/LDAP могла управлять внешними центрами, необходимо выполнить следующие действия на сервере NetWorker, чтобы предоставить пользователю или группе AD FULL_CONTROL разрешения.
a. Откройте командную строку с правами администратора/пользователя root.
b. Использование различающегося имени группы AD, которое вы хотите предоставить FULL_CONTROL Разрешение на запуск: 
authc_config -u Administrator -p 'NMC_ADMIN_PASS' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="AD_GROUP_DN"
Пример. 
[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e add-permission -D permission-name=FULL_CONTROL -D permission-group-dn="CN=NetWorker_Admins,DC=amer,DC=lan"
Permission FULL_CONTROL is created successfully.

[root@lnx-nwserv]:~# authc_config -u Administrator -p '!Password1' -e find-all-permissions
The query returns 2 records.
Permission Id Permission Name Group DN Pattern                Group DN
1             FULL_CONTROL    ^cn=Administrators,cn=Groups.*$
2             FULL_CONTROL                                    CN=NetWorker_Admins,dc=amer,dc=lan

其他信息

受影响的产品

NetWorker

产品

NetWorker, NetWorker Management Console
文章属性
文章编号: 000031431
文章类型: Solution
上次修改时间: 27 10月 2025
版本:  5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。