NetWorker: Logowanie NMC kończy się niepowodzeniem dla użytkownika AD lub LDAP z komunikatem "Nie masz uprawnień do korzystania z konsoli zarządzania NetWorker".

• Podczas próby zalogowania się do NMC jako użytkownik zewnętrzny (AD/LDAP) pojawia się następujący błąd:

• Ten sam użytkownik usługi AD może zalogować się przy użyciu opcji wiersza poleceń nsrlogin .
• Uwierzytelnianie działa pomyślnie w przypadku domyślnego konta administratora NetWorker.
• W niektórych sytuacjach ten błąd może mieć wpływ tylko na określonych użytkowników.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: W większości konfiguracji ta wartość jest domyślna. W przeciwnym razie będzie to nazwa dzierżawcy skonfigurowana przez administratora NetWorker.
• domena: wartość domeny używana normalnie podczas logowania się do NMC.
• username: Nazwa użytkownika AD/LDAP bez prefiksu domeny

1. Zaloguj się do konsoli NetWorker Management Console (NMC) jako domyślne konto administratora NetWorker.
2. Przejdź do sekcji Setup->Users and Roles->NMC Roles.
3. Zapoznaj się rolami Console Users i Application Administrators. Pola role zewnętrzne powinny zawierać nazwę  wyróżniającą (pełną ścieżkę) grupy AD, do której należy użytkownik; opcjonalnie można ustawić ścieżkę jednego użytkownika. 
Oto przykład:

4. Po dodaniu nazwy wyróżniającej grupy AD dla użytkownika AD do odpowiednich ról NMC dla tego użytkownika należy przetestować logowanie do NMC tego użytkownika AD.
 

Jeśli problem nie ustąpi, można sprawdzić członkostwo w grupie AD/LDAP przy użyciu następujących opcji:
 

Windows PowerShell:

W systemie Windows w tej samej domenie uruchom następujące polecenie PowerShell:

Get-ADPrincipalGroupMembership -Identity USERNAME

Np.:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Nazwa wyróżniająca wytłaczana przez polecenie może być użyta w programie NetWorker do przyznania użytkownikowi AD dostępu do NMC.

Aby uzyskać więcej informacji na temat tego polecenia, zobacz: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

authc_mgmt NetWorker Polecenia:

Można użyć polecenia authc_mgmt , aby zbadać członkostwo użytkownika/grupy AD/LDAP. Na serwerze NetWorker otwórz wiersz polecenia (lub sesję SSH) i uruchom następującą składnię polecenia:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Pełna nazwa nazwy nazwy jednej z grup może być użyta do przyznania temu użytkownikowi AD dostępu do NMC.
Konfigurację i wartości potrzebne do authc_mgmt poleceń można zbierać, uruchamiając następujące polecenie:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants