NetWorker: El inicio de sesión de NMC falla para el usuario de AD o LDAP con el mensaje "You do not have privileges to use NetWorker Management Console".

• Aparece el siguiente error cuando se intenta iniciar sesión en NMC como un usuario externo (AD/LDAP):

• Este mismo usuario de AD puede iniciar sesión mediante la opción de línea de comandos nsrlogin .
• La autenticación se realiza correctamente para la cuenta de administrador predeterminada de NetWorker.
• En algunas situaciones, este error solo puede afectar a usuarios específicos.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: En la mayoría de las configuraciones, este valor será predeterminado; de lo contrario, será el nombre del grupo de usuarios configurado por el administrador de NetWorker.
• dominio: el valor de dominio que normalmente se utiliza cuando se inicia sesión en NMC.
• nombre de usuario: Nombre de usuario de AD/LDAP sin prefijo de dominio

1. Inicie sesión en NetWorker Management Console (NMC) como la cuenta predeterminada de administrador de NetWorker.
2. Vaya a Setup->Users and Roles->NMC Roles.
3. Revise las funciones de Console Users y Application Administrators. Los campos funciones de funciones externas deben contener el nombre  distintivo (ruta completa) de un grupo de AD al que pertenece el usuario; de manera opcional, se puede establecer la ruta de un solo usuario. 
Por ejemplo:

4. Una vez que se agrega el DN del grupo de AD para el usuario de AD a las funciones de NMC adecuadas para ese usuario, pruebe el inicio de sesión en NMC con ese usuario de AD.
 

Si el problema persiste, puede verificar la membresía del grupo de AD/LDAP con las siguientes opciones:
 

Windows Powershell:

Desde un sistema Windows en el mismo dominio, ejecute el siguiente comando de PowerShell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Por ejemplo:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

El nombre distintivo que genera el comando se podría utilizar en NetWorker para otorgar al usuario de AD acceso a NMC.

Para obtener más información sobre este comando, consulte: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

authc_mgmt de NetWorker Comando:

Puede usar el comando authc_mgmt para consultar la membresía de usuario/grupo de AD/LDAP. En el servidor de NetWorker, abra un símbolo del sistema (o una sesión ssh) y ejecute la siguiente sintaxis de comandos:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

El nombre Dn completo de uno de los grupos se puede utilizar para otorgar a este usuario de AD acceso a NMC.
La configuración y los valores necesarios para authc_mgmt comandos se pueden recopilar mediante la ejecución de lo siguiente:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants