NetWorker: Помилка входу в NMC для користувача AD або LDAP з написом "У вас немає прав на використання консолі керування NetWorker".

• Наступна помилка з'являється при спробі входу в NMC як зовнішній користувач (AD/LDAP):

• Цей же користувач AD може увійти в систему за допомогою опції командного рядка nsrlogin .
• Автентифікацію успішно виконано для облікового запису адміністратора NetWorker за промовчанням.
• У деяких ситуаціях ця помилка може впливати лише на конкретних користувачів.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: У більшості конфігурацій це значення буде за замовчуванням; інакше це буде ім'я клієнта, настроєне адміністратором NetWorker.
• domain: значення домену, яке зазвичай використовується під час входу в NMC.
• Ім'я користувача: Ім'я користувача AD/LDAP без префікса домену

1. Увійдіть у консоль керування NetWorker (NMC) як обліковий запис адміністратора NetWorker за замовчуванням.
2. Перейдіть до розділів Setup->Users і Roles->NMC Roles.
3. Перегляньте ролі користувачів консолі та адміністраторів програм. Поля ролей зовнішніх ролей повинні містити відмітне ім'я  (повний шлях) групи AD, до якої належить користувач; за бажанням можна встановити шлях одного користувача. 
Наприклад:

4. Коли DN групи AD для користувача AD буде додано до відповідних ролей NMC для цього користувача, перевірте вхід у NMC із цим користувачем AD.
 

Якщо проблема не зникне, ви можете підтвердити членство в групі AD/LDAP за допомогою таких варіантів:
 

Windows Powershell:

Із системи Windows у тому самому домені запустіть таку команду Powershell:

Get-ADPrincipalGroupMembership -Identity USERNAME

наприклад:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

DistinctedName, виведене командою, може бути використано в NetWorker для надання користувачеві AD доступу до NMC.

Для отримання додаткової інформації про цю команду див.: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker authc_mgmt Команда:

За допомогою команди authc_mgmt можна надіслати запит на членство користувача або групи AD/LDAP. На сервері NetWorker відкрийте командний рядок (або сеанс SSH) і запустіть такий синтаксис команд:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Повне ім'я Dn однієї з груп може бути використано для надання цьому користувачеві AD доступу до NMC.
Конфігурацію і значення, які потрібні для authc_mgmt команд, можна зібрати, виконавши:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants