NetWorker : Échec de la connexion NMC pour un utilisateur AD ou LDAP avec le message « You do not have privileges to use NetWorker Management Console ».

• L’erreur suivante s’affiche lorsque vous tentez de vous connecter à NMC en tant qu’utilisateur externe (AD/LDAP):

• Ce même utilisateur AD peut se connecter à l’aide de l’option de ligne de commande nsrlogin .
• L’authentification réussit pour le compte administrateur NetWorker par défaut.
• Dans certaines situations, cette erreur peut avoir un impact uniquement sur des utilisateurs spécifiques.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name : Dans la plupart des configurations, cette valeur est définie par défaut. Sinon, il s’agit du nom du tenant configuré par l’administrateur NetWorker.
• domain: la valeur de domaine que vous utilisez normalement lors de la connexion à NMC.
• username : Nom d’utilisateur AD/LDAP sans préfixe de domaine

1. Connectez-vous à NetWorker Management Console (NMC) en tant que compte d’administrateur NetWorker par défaut.
2. Accédez à Setup->Users and Roles->NMC Roles.
3. Vérifiez les rôles Console Users et Application Administrators. Les champs Rôles externes doivent contenir le nom  unique (chemin complet) d’un groupe AD auquel appartient l’utilisateur; éventuellement, le chemin d’un seul utilisateur peut être défini. 
Par exemple :

4. Une fois que le Distinguished Name du groupe AD de l’utilisateur AD est ajouté aux rôles NMC appropriés pour cet utilisateur, testez la connexion à NMC avec cet utilisateur AD.
 

Si le problème persiste, vous pouvez vérifier l’appartenance au groupe AD/LDAP avec les options suivantes:
 

Windows PowerShell :

À partir d’un système Windows sur le même domaine, exécutez la commande PowerShell suivante :

Get-ADPrincipalGroupMembership -Identity USERNAME

Par exemple :

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Le nom unique généré par la commande peut être utilisé dans NetWorker pour accorder à l’utilisateur AD l’accès au NMC.

Pour plus d’informations sur cette commande, reportez-vous à la section: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

Authc_mgmt NetWorker Commande:

Vous pouvez utiliser la commande authc_mgmt pour interroger l’appartenance à un utilisateur/groupe AD/LDAP. Sur le serveur NetWorker, ouvrez une invite de commande (ou une session SSH) et exécutez la syntaxe de commande suivante:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Le nom unique complet de l’un des groupes peut être utilisé pour accorder à cet utilisateur AD l’accès au NMC.
La configuration et les valeurs nécessaires pour authc_mgmt commandes peuvent être collectées en exécutant:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants