NetWorker: O log-in do NMC falha para o usuário do AD ou LDAP com "Você não tem privilégios para usar o Console de gerenciamento do NetWorker".

• O seguinte erro é exibido ao tentar fazer log-in no NMC como um usuário externo (AD/LDAP):

• Esse mesmo usuário do AD pode fazer log-in usando a opção de linha de comando nsrlogin .
• A autenticação é bem-sucedida com a conta padrão de administrador do NetWorker.
• Em algumas situações, esse erro só pode afetar usuários específicos.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• nome_grupousuários: Na maioria das configurações, esse valor será o padrão; caso contrário, ele será o nome do tenant configurado pelo administrador do NetWorker.
• domínio: o valor de domínio que você normalmente usa ao fazer log-in no NMC.
• nomedeusuário: Nome de usuário do AD/LDAP sem prefixo de domínio

1. Faça log-in no NetWorker Management Console (NMC) como a conta padrão de administrador do NetWorker.
2. Vá para Setup->Users and Roles->NMC Roles.
3. Analise as funções Console Users e Application Administrators. Os campos external roles roles devem conter o nome  distinto (caminho completo) de um grupo do AD ao qual o usuário pertence; opcionalmente, o caminho de um único usuário pode ser definido. 
Por exemplo:

4. Depois que o DN do grupo do AD para o usuário do AD for adicionado às funções apropriadas do NMC para esse usuário, teste o login no NMC com esse usuário do AD.
 

Se o problema persistir, você poderá verificar a lista de membros do grupo do AD/LDAP com as seguintes opções:
 

Windows Powershell:

Em um sistema Windows no mesmo domínio, execute o seguinte comando do Powershell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Por exemplo:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

O distinguishedName exibido pelo comando pode ser usado no NetWorker para conceder ao usuário do AD acesso ao NMC.

Para obter mais informações sobre esse comando, consulte: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker authc_mgmt Comando:

Você pode usar o comando authc_mgmt para consultar a lista de membros do usuário/grupo do AD/LDAP. No servidor do NetWorker, abra um prompt de comando (ou sessão SSH) e execute a seguinte sintaxe de comando:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

O nome completo de um dos grupos pode ser usado para conceder a esse usuário do AD acesso ao NMC.
A configuração e os valores necessários para authc_mgmt comandos podem ser coletados executando:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants