NetWorker: Aanmelden bij NMC mislukt voor AD- of LDAP-gebruiker met de melding "You do not have privileges to use NetWorker Management Console" (U hebt geen bevoegdheden om NetWorker Management Console te gebruiken).

• De volgende fout wordt weergegeven wanneer u zich probeert aan te melden bij de NMC als een externe (AD/LDAP) gebruiker:

• Dezelfde AD-gebruiker kan zich aanmelden met behulp van de opdrachtregeloptie nsrlogin .
• Authenticatie slaagt voor het standaard NetWorker Administrator-account.
• In sommige situaties kan deze fout alleen van invloed zijn op specifieke gebruikers.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: In de meeste configuraties is deze waarde standaard; anders is het de tenantnaam die is geconfigureerd door de NetWorker Administrator.
• domein: de domeinwaarde die u normaal gesproken gebruikt bij het aanmelden bij de NMC.
• Gebruikersnaam: AD/LDAP gebruikersnaam zonder domeinvoorvoegsel

1. Meld u aan bij de NetWorker Management Console (NMC) als het standaard NetWorker Administrator-account.
2. Ga naar Setup->Users and Roles->NMC Roles.
3. Controleer de rollen consolegebruikers en applicatiebeheerders . De velden Externe rollen moeten de Distinguished Name  (volledig pad) bevatten van een AD-groep waartoe de gebruiker behoort; optioneel kan het pad van één gebruiker worden ingesteld. 
Bijvoorbeeld:

4. Zodra de AD-groep DN voor de AD-gebruiker is toegevoegd aan de juiste NMC-rollen voor die gebruiker, test u het aanmelden bij de NMC met die AD-gebruiker.
 

Als het probleem zich blijft voordoen, kunt u het lidmaatschap van de AD/LDAP-groep controleren met de volgende opties:
 

Windows Powershell:

Voer de volgende PowerShell-opdracht uit vanaf een Windows-systeem op hetzelfde domein:

Get-ADPrincipalGroupMembership -Identity USERNAME

Bijvoorbeeld:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

De distinguishedName die door de opdracht wordt uitgevoerd, kan worden gebruikt in NetWorker om de AD-gebruiker toegang te verlenen tot de NMC.

Zie voor meer informatie over deze opdracht: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker authc_mgmt Opdracht:

U kunt de opdracht authc_mgmt gebruiken om een query uit te voeren op AD/LDAP user/group membership. Open op de NetWorker server een opdrachtprompt (of SSH-sessie) en voer de volgende opdrachtsyntaxis uit:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

De volledige Dn-naam van een van de groepen kan worden gebruikt om deze AD-gebruiker toegang te verlenen tot de NMC.
De configuratie en waarden die nodig zijn voor authc_mgmt opdrachten kunnen worden verzameld door het uitvoeren van:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants