NetWorker: NMC-login mislykkes for AD- eller LDAP-bruger med "Du har ikke rettigheder til at bruge NetWorker Management Console".

• Følgende fejl vises, når du forsøger at logge på NMC som en ekstern (AD/LDAP) bruger:

• Den samme AD-bruger kan logge på ved hjælp af kommandolinjeindstillingen nsrlogin .
• Godkendelse gennemføres for NetWorker-standardadministratorkontoen.
• I nogle situationer kan denne fejl kun påvirke specifikke brugere.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: I de fleste konfigurationer er denne værdi standard. Ellers vil det være lejernavnet, der er konfigureret af NetWorker-administratoren.
• domæne: den domæneværdi, som du normalt bruger, når du logger på NMC.
• Brugernavn: AD/LDAP-brugernavn uden domænepræfiks

1. Log på NetWorker Management Console (NMC) som standard NetWorker Administrator-konto.
2. Gå til Opsætnings->Brugere og Roller->NMC-roller.
3. Gennemgå konsolbrugeres og programadministratorroller . Felterne for de eksterne roller skal indeholde det entydige navn  (fuld sti) for en AD-gruppe, som brugeren tilhører. Alternativt kan stien til en enkelt bruger indstilles. 
F.eks.:

4. Når AD-gruppe DN for AD-brugeren er føjet til de relevante NMC-roller for den pågældende bruger, skal du teste login til NMC med den pågældende AD-bruger.
 

Hvis problemet fortsætter, kan du kontrollere AD/LDAP-gruppemedlemskab med følgende indstillinger:
 

Windows Powershell:

Kør følgende PowerShell-kommando fra et Windows-system på samme domæne:

Get-ADPrincipalGroupMembership -Identity USERNAME

F.eks:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Det entydigeName , der er outputtet af kommandoen, kan bruges i NetWorker til at give AD-brugeradgang til NMC.

Du kan få flere oplysninger om denne kommando i: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker-authc_mgmt Kommando:

Du kan bruge kommandoen authc_mgmt til at forespørge på AD/LDAP-bruger-/gruppemedlemskab. På NetWorker-serveren skal du åbne en kommandoprompt (eller SSH-session) og køre følgende kommandosyntaks:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Det fulde Dn-navn på en af grupperne kan bruges til at give denne AD-brugeradgang til NMC.
Den konfiguration og de værdier, der er nødvendige for authc_mgmt kommandoer, kan indsamles ved at køre:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants