NetWorker: Uživatel AD/LDAP nevidí uživatele NMC nebo role NMC "Unable to get user information from authentication service [Access is Denied]"
Summary: Do konzole NMC se můžete přihlásit pomocí uživatele LDAP AD, ale nemůžete zobrazit role NMC ani uživatele NMC. Zobrazí se chybová zpráva "Unable to get user information from authentication service [Access is Denied]". ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Do konzole NMC se můžete přihlásit pomocí uživatele LDAP AD, ale nemůžete zobrazit role NMC ani uživatele NMC. Zobrazí se chybová zpráva "Unable to get user information from authentication service [Access is Denied]".
Cause
Problém 1: Název DN skupiny AD není uveden v rolích KONZOLE NMC "Console Security Administrator" a/nebo v uživatelské skupině serveru NetWorker "Security Administrators"
, problém 2: Konfigurace externího ověřování NetWorker má nesprávný nebo chybějící "Config User Group Attribute".
Problém 3: Dn skupiny AD, která nebyla udělena FULL_CONTROL oprávněními správce.
, problém 2: Konfigurace externího ověřování NetWorker má nesprávný nebo chybějící "Config User Group Attribute".
Problém 3: Dn skupiny AD, která nebyla udělena FULL_CONTROL oprávněními správce.
Resolution
Problém 1:
1) Přihlaste se do konzole NMC jako výchozí účet NetWorker Administrator .
2) Přejděte do nastavení –> Uživatelé a role> – Role NMC.
3) Otevřete vlastnosti rolí Správce zabezpečení konzole a Správce aplikací konzole.
4) V poli External Roles by měl být zadán rozlišující název (DN) skupin AD pro správce NetWorker.
Poznámka: Pokud si nejste jisti, zda je zadán dn, přečtěte si pole Notes, kde najdete kroky, které lze dokončit pro získání těchto informací. Do odpovídajících polí externích rolí skupiny uživatelů serveru NetWorker je třeba také přidat názvy DNs skupiny uživatelů serveru AD. Připojte se k serveru NetWorker z konzole NMC jako výchozí účet NetWorker Administrator a přejděte na možnost Server –> User Groups. Bez toho se budete moci přihlásit do konzole NMC jako uživatel ad, ale ne připojit se k serveru NetWorker.
Příklad:
V tomto případě je položka "Config User Group Attribute" prázdná. U ověřování na bázi AD by toto pole mělo být nastaveno na memberOf. Pokud je toto pole prázdné nebo má jinou hodnotu, proveďte následující:
2) Chcete-li aktualizovat tuto hodnotu pomocí příkazu, zadejte následující příkaz:
1) Přihlaste se do konzole NMC jako výchozí účet NetWorker Administrator .
2) Přejděte do nastavení –> Uživatelé a role> – Role NMC.
3) Otevřete vlastnosti rolí Správce zabezpečení konzole a Správce aplikací konzole.
4) V poli External Roles by měl být zadán rozlišující název (DN) skupin AD pro správce NetWorker.
Poznámka: Pokud si nejste jisti, zda je zadán dn, přečtěte si pole Notes, kde najdete kroky, které lze dokončit pro získání těchto informací. Do odpovídajících polí externích rolí skupiny uživatelů serveru NetWorker je třeba také přidat názvy DNs skupiny uživatelů serveru AD. Připojte se k serveru NetWorker z konzole NMC jako výchozí účet NetWorker Administrator a přejděte na možnost Server –> User Groups. Bez toho se budete moci přihlásit do konzole NMC jako uživatel ad, ale ne připojit se k serveru NetWorker.
Příklad:
5) Jakmile je do obou rolí přidán rozlišující název skupiny AD správce NetWorker. Přihlaste se do konzole NMC jako uživatel služby AD, který patří do nově přidané skupiny, a ověřte, zda jsou zobrazeny konfigurace uživatelů konzole NMC a rolí NMC.
Problém 2:
1) Zkontrolujte stávající konfiguraci pomocí ID konfigurace:
Problém 2:
1) Zkontrolujte stávající konfiguraci pomocí ID konfigurace:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Poznámka: Zadaný účet je účet/heslo správce NetWorker. Nahraďte # id konfigurace získaným v prvním příkazu.
Příklad:
Příklad:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
V tomto případě je položka "Config User Group Attribute" prázdná. U ověřování na bázi AD by toto pole mělo být nastaveno na memberOf. Pokud je toto pole prázdné nebo má jinou hodnotu, proveďte následující:
2) Chcete-li aktualizovat tuto hodnotu pomocí příkazu, zadejte následující příkaz:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Poznámka: V některých systémech nebude možné aktualizovat jednotlivé hodnoty. Pokud se zobrazí chyba s výše uvedeným příkazem, doporučujeme použít šablony skriptů uvedené v části:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Poznámka: Výše uvedená cesta systému Windows předpokládá, že byla použita výchozí cesta instalace netWorker.
Poznámka: Výše uvedená cesta systému Windows předpokládá, že byla použita výchozí cesta instalace netWorker.
Pokud je skript používán, můžete změnit konfiguraci "-e add-config" na "-e update-config" a vyplnit zbývající pole podle svého prostředí. Konfigurační atribut skupiny uživatelů by měl být v šabloně skriptu (ve výchozím nastavení) nastaven na hodnotu "-D "config-user-group-attr=memberOf". Po aktualizaci konfigurace byste měli vidět změny pomocí: authc_config -u Administrator -p password -e find-config -D config-id=#
Příklad:
Příklad:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Odhlaste se z konzole NMC a znovu se přihlaste pomocí svého uživatele AD.
Problém 3:
V některých případech i po přidání DN skupiny AD do polí External Roles v okně Console Security Administrator a Console Application Administrator se stále zobrazuje chyba "Access Denied". FULL_CONTROL oprávnění lze přidat do skupin AD správců NetWorker.
1) Otevřete příkazový řádek se zvýšenými oprávněními na serveru
NetWorker 2) Zkontrolujte, které skupiny AD mají FULL_CONTROL oprávnění jsou nastavena:
V některých případech i po přidání DN skupiny AD do polí External Roles v okně Console Security Administrator a Console Application Administrator se stále zobrazuje chyba "Access Denied". FULL_CONTROL oprávnění lze přidat do skupin AD správců NetWorker.
1) Otevřete příkazový řádek se zvýšenými oprávněními na serveru
NetWorker 2) Zkontrolujte, které skupiny AD mají FULL_CONTROL oprávnění jsou nastavena:
authc_config -u Administrator -p password -e find-all-permissions
Poznámka: Zadaný účet je účet/heslo správce NetWorker.
3)Pokud není rozlišující název skupiny správců NetWorker zadán, spusťte následující příkaz:
3)Pokud není rozlišující název skupiny správců NetWorker zadán, spusťte následující příkaz:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Poznámka: Název permission-group-dn by měl obsahovat celý rozlišující název skupiny, ke které chcete oprávnění přidat. Pokud si nejste jisti skupinou DN, podívejte se do pole Notes, kde jsou tyto informace shromažďovány.
Příklad:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Po přidání oprávnění můžete potvrdit změny spuštěním příkazu find-all-permissions z kroku 2.
5) Přihlaste se do konzole NMC pomocí uživatele SLUŽBY AD náležejícího do skupiny, ke které jste právě přidali oprávnění, a ověřte, zda jsou zobrazena nastavení nmc Roles nebo NMC Users.
Additional Information
Výše uvedené postupy vyžadují znalost rozlišujícího názvu (DN) skupiny AD, ke které patří uživatelé ad. To může potvrdit váš správce služby AD, ale lze je také shromažďovat pomocí příkazů authc_config a authc_mgmt na serveru NetWorker. Chcete-li tyto informace získat, musíte také znát klienta a doménu, která byla nakonfigurována pro vaše externí ověřování LDAP AD:
1), přihlásit se k serveru NetWorker a otevřít příkazový řádek se zvýšenými oprávněními.
2) Zkontrolujte, zda byl klient nakonfigurován (ve většině případů se používá výchozí):
3) Jakmile máte název nájemce, můžete pomocí následujícího příkazu dotazovat skupiny LDAP AD pro konkrétního uživatele AD:
Příklad:
1), přihlásit se k serveru NetWorker a otevřít příkazový řádek se zvýšenými oprávněními.
2) Zkontrolujte, zda byl klient nakonfigurován (ve většině případů se používá výchozí):
authc_config -u Administrator -p password -e find-all-tenants
Poznámka: Zadaný účet je účet/heslo správce NetWorker.
Příklad:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Poznámka: Zadejte název nájemce, který byl shromážděn z příkazu v kroku 2. Název domény musí odpovídat způsobu, jakým byl zadán při konfiguraci externího ověřování LDAP AD. nemusí nutně doménu tak, jak by se zobrazila v dotazu DNS. Při přihlašování do konzole NMC zadejte název domény stejně jako vy. Zadejte uživatele AD pro uživatelské jméno.
Příklad:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Z tohoto výstupu byste měli mít celý název DN skupiny AD, ke které chcete přidat oprávnění. To lze zkopírovat a vložit do polí External Roles v rolích NMC a uživatelských skupinách serveru NetWorker. Lze jej použít také v příkazu oprávnění FULL_CONTROL.
authc_config a authc_mgmt jsou velmi užitečné příkazy pro testování a konfiguraci externího ověřování. Chcete-li zobrazit všechny dostupné možnosti, spusťte příkazy bez příznaků a přepínačů.
authc_config a authc_mgmt jsou velmi užitečné příkazy pro testování a konfiguraci externího ověřování. Chcete-li zobrazit všechny dostupné možnosti, spusťte příkazy bez příznaků a přepínačů.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 05 Oct 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.