NetWorker: NMC-kirjautuminen epäonnistuu AD- tai LDAP-käyttäjän kohdalla ja näyttöön tulee teksti You do not have privileges to use NetWorker Management Console.

• Näyttöön tulee seuraava virhe, kun NMC:hen yritetään kirjautua ulkoisena (AD/LDAP) käyttäjänä:

• Sama AD-käyttäjä voi kirjautua sisään nsrlogin-komentorivillä .
• Oletusarvoinen NetWorker Administrator -tilin todennus onnistuu.
• Joissakin tilanteissa tämä virhe saattaa vaikuttaa vain tiettyihin käyttäjiin.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: Useimmissa kokoonpanoissa tämä arvo on oletusarvo. Muussa tapauksessa se on NetWorker-järjestelmänvalvojan määrittämä vuokraajan nimi.
• toimialue: toimialueen arvo, jota tavallisesti käytetään, kun kirjaudut NMC:hen.
• username: AD-/LDAP-käyttäjätunnus ilman toimialueen etuliitettä

1. Kirjaudu networker-hallintakonsoliin (NMC) oletusarvoisena NetWorker Administrator -tilinä.
2. Siirry kohtaan Setup->Users and Roles->NMC Roles.
3. Tarkista konsolin käyttäjien ja sovellusten järjestelmänvalvojan roolit . Ulkoisten roolien kenttiin pitäisi sisältyä käyttäjän AD-ryhmän DN-nimi (koko polku). Vaihtoehtoisesti yhden käyttäjän polku voidaan määrittää.  
Esimerkki:

4. Kun AD-käyttäjän AD-ryhmän DN on lisätty asianmukaisiin kyseisen käyttäjän NMC-rooleihin, testaa kirjautuminen NMC:hen kyseisellä AD-käyttäjällä.
 

Jos ongelma jatkuu, voit tarkistaa AD-/LDAP-ryhmän jäsenyyden seuraavilla vaihtoehdoilla:
 

Windows Powershell:

Suorita powershell-komento saman toimialueen Windows-järjestelmässä:

Get-ADPrincipalGroupMembership -Identity USERNAME

Esim:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Komennon kirjoittamaa distinguishedName-nimeä voidaan käyttää NetWorkerissa, jotta AD-käyttäjä voi käyttää NMC:tä.

Lisätietoja tästä komennosta on https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker-authc_mgmt Komento:

Authc_mgmt-komennolla voi kysellä AD-/LDAP-käyttäjä- tai -ryhmäjäsenyyttä. Avaa NetWorker-palvelimessa komentokehote (tai SSH-istunto) ja suorita seuraava komentosyntaksi:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Yhden ryhmän Dn-nimen avulla tämä AD-käyttäjä voi käyttää NMC:tä.
authc_mgmt-komentojen tarvitsemat määritykset ja arvot voidaan kerätä seuraavalla komennolla:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants