NetWorker: L'accesso a NMC non riesce per gli utenti AD o LDAP con il messaggio "You do not have privileges to use NetWorker Management Console".

• Quando si tenta di accedere a NMC come utente esterno (AD/LDAP), viene visualizzato il seguente errore:

• Questo stesso utente AD può accedere utilizzando l'opzione della riga di comando nsrlogin .
• L'autenticazione ha esito positivo per l'account dell'amministratore di NetWorker predefinito.
• In alcune situazioni, questo errore può influire solo su utenti specifici.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: Nella maggior parte delle configurazioni, questo valore sarà predefinito; in caso contrario, sarà il nome del tenant configurato dall'amministratore di NetWorker.
• domain: il valore di dominio normalmente utilizzato durante l'accesso a NMC.
• username: Nome utente AD/LDAP senza prefisso di dominio

1. Accedere a NetWorker Management Console (NMC) come account amministratore NetWorker predefinito.
2. Passare a Setup->Users and Roles->NMC Roles.
3. Rivedere i ruoli Console Users e Application Administrators. I campi Ruoli esterni devono contenere il nome  distinto (percorso completo) di un gruppo AD a cui appartiene l'utente; facoltativamente, è possibile impostare il percorso di un singolo utente. 
Ad esempio:

4. Una volta aggiunto il DN del gruppo AD per l'utente AD ai ruoli NMC appropriati per tale utente, verificare di riuscire ad accedere a NMC con questo utente AD.
 

Se il problema persiste, è possibile verificare l'appartenenza al gruppo AD/LDAP con le seguenti opzioni:
 

Windows PowerShell:

Da un sistema Windows nello stesso dominio, eseguire il seguente comando PowerShell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Adesempio:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

L'output del distinguishedName ottenuto dal comando potrebbe essere utilizzato in NetWorker per concedere all'utente AD l'accesso a NMC.

Per ulteriori informazioni su questo comando, consultare: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

authc_mgmt NetWorker Comando:

È possibile utilizzare il comando authc_mgmt per eseguire query sull'appartenenza a utenti/gruppi AD/LDAP. Sul server NetWorker, aprire un prompt dei comandi (o una sessione SSH) ed eseguire la sintassi dei comandi seguente:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Il nome Dn completo di uno dei gruppi può essere utilizzato per concedere a questo utente AD l'accesso a NMC.
La configurazione e i valori necessari per i comandi authc_mgmt possono essere raccolti eseguendo:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants