NetWorker: AD/LDAP-bruger kan ikke se NMC-brugere eller NMC-roller "Kunne ikke hente brugeroplysninger fra godkendelsestjeneste [Adgang nægtet]"
Summary: Du kan logge på NMC med en LDAP AD-bruger, men kan ikke se NMC-roller eller NMC-brugere. Fejlmeddelelsen "Kunne ikke hente brugeroplysninger fra godkendelsesservice [Adgang nægtet]" vises. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Du kan logge på NMC med en LDAP AD-bruger, men kan ikke se NMC-roller eller NMC-brugere. Fejlmeddelelsen "Kunne ikke hente brugeroplysninger fra godkendelsesservice [Adgang nægtet]" vises.
Cause
Problem 1: AD Group DN er ikke angivet i NMC-rollerne "Console Security Administrator" og/eller NetWorker-serverbrugergruppens "Sikkerhedsadministratorer"
, problem 2: Den eksterne NetWorker-godkendelseskonfiguration har en forkert eller manglende "Konfigurationsbrugergruppeattribut".
Problem 3: AD-gruppe-DN, som ikke er blevet tildelt FULL_CONTROL administratorrettigheder.
, problem 2: Den eksterne NetWorker-godkendelseskonfiguration har en forkert eller manglende "Konfigurationsbrugergruppeattribut".
Problem 3: AD-gruppe-DN, som ikke er blevet tildelt FULL_CONTROL administratorrettigheder.
Resolution
Problem 1:
1) Log på NMC som standard NetWorker Administrator-konto .
2) Gå til Setup-->Users and Roles-NMC> Roles.
3) Åbn egenskaberne for rollerne Console Security Administrator og Console Application Administrator.
4) I feltet Eksterne roller skal det entydige navn (DN) for AD-gruppe(e) for NetWorker-administratorer angives.
Bemærk: Hvis du ikke ved, hvilken DN der er angivet, skal du se feltet Bemærkninger for at se de trin, der kan udføres for at indsamle disse oplysninger. AD-gruppe-DN'erne skal også føjes til de tilsvarende felter for NetWorker-serverens brugergruppes eksterne roller. Opret forbindelse til NetWorker-serveren fra NMC som standard NetWorker Administrator-konto, og gå til Server-->Brugergrupper. Uden dette kan du logge på NMC som AD-bruger, men ikke oprette forbindelse til NetWorker-serveren.
Eksempel:
I denne forekomst er "Config User Group Attribute" tom. For AD-baseret godkendelse skal dette felt indstilles til memberOf. Hvis feltet er tomt eller har en anden værdi, skal du gøre følgende:
2) For at opdatere denne værdi via kommandoen skal du køre følgende:
1) Log på NMC som standard NetWorker Administrator-konto .
2) Gå til Setup-->Users and Roles-NMC> Roles.
3) Åbn egenskaberne for rollerne Console Security Administrator og Console Application Administrator.
4) I feltet Eksterne roller skal det entydige navn (DN) for AD-gruppe(e) for NetWorker-administratorer angives.
Bemærk: Hvis du ikke ved, hvilken DN der er angivet, skal du se feltet Bemærkninger for at se de trin, der kan udføres for at indsamle disse oplysninger. AD-gruppe-DN'erne skal også føjes til de tilsvarende felter for NetWorker-serverens brugergruppes eksterne roller. Opret forbindelse til NetWorker-serveren fra NMC som standard NetWorker Administrator-konto, og gå til Server-->Brugergrupper. Uden dette kan du logge på NMC som AD-bruger, men ikke oprette forbindelse til NetWorker-serveren.
Eksempel:
5) Når DN for Din NetWorker-administrators AD-gruppe(e) er blevet føjet til begge roller. Log ind på NMC som en AD-bruger, der tilhører den nyligt tilføjede gruppe, og bekræft, at du kan se konfigurationer for NMC-brugere og NMC-roller.
Problem 2:
1) Kontroller din eksisterende konfiguration ved hjælp af dit konfigurations-id:
Problem 2:
1) Kontroller din eksisterende konfiguration ved hjælp af dit konfigurations-id:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
Bemærk: Den angivne konto er NetWorker-administratorkontoen/-adgangskoden. Erstat # med det konfigurations-id, der er indsamlet i den første kommando.
Eksempel:
Eksempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
I denne forekomst er "Config User Group Attribute" tom. For AD-baseret godkendelse skal dette felt indstilles til memberOf. Hvis feltet er tomt eller har en anden værdi, skal du gøre følgende:
2) For at opdatere denne værdi via kommandoen skal du køre følgende:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
Bemærk: På nogle systemer vil du ikke være i stand til at opdatere individuelle værdier. Hvis du modtager en fejl med ovenstående kommando, anbefales det at bruge scriptskabelonerne, der findes under:
Linux: /opt/nsr/authc-server/bin
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\bin
Bemærk: Ovenstående Windows-sti antager, at standardinstallationsstien til NetWorker blev brugt.
Bemærk: Ovenstående Windows-sti antager, at standardinstallationsstien til NetWorker blev brugt.
Hvis scriptet bruges, kan du ændre "-e add-config" til "-e update-config" og udfylde resten af felterne i henhold til dit miljø. Attributten Config User Group skal indstilles til "-D "config-user-group-attr=memberOf"" i scriptskabelonen (som standard). Når konfigurationen er blevet opdateret, bør du kunne se ændringerne med: authc_config -u Administrator -p password -e find-config -D config-id=#
Eksempel:
Eksempel:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) Log ud af NMC, og log ind igen med din AD-bruger
Problem 3:
I nogle tilfælde, selv efter tilføjelse af AD-gruppe-DN(e) til felterne Eksterne roller i Console Security Administrator og Console Application Administrator, vil du stadig få fejlen "Adgang nægtet". FULL_CONTROL tilladelser kan føjes til NetWorker Administrators AD-gruppe(e).
1) Åbn en kommandoprompt med administratorrettigheder på NetWorker server
2) Bekræft, hvilke AD-grupper der har FULL_CONTROL tilladelser er indstillet:
I nogle tilfælde, selv efter tilføjelse af AD-gruppe-DN(e) til felterne Eksterne roller i Console Security Administrator og Console Application Administrator, vil du stadig få fejlen "Adgang nægtet". FULL_CONTROL tilladelser kan føjes til NetWorker Administrators AD-gruppe(e).
1) Åbn en kommandoprompt med administratorrettigheder på NetWorker server
2) Bekræft, hvilke AD-grupper der har FULL_CONTROL tilladelser er indstillet:
authc_config -u Administrator -p password -e find-all-permissions
Bemærk: Den angivne konto er NetWorker-administratorkontoen/-adgangskoden.
3)Hvis DN for NetWorker-administratorgruppen ikke er angivet, skal du køre følgende kommando:
3)Hvis DN for NetWorker-administratorgruppen ikke er angivet, skal du køre følgende kommando:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
Bemærk: Tilladelsesgruppe-dn skal indeholde hele DN for den gruppe, du vil tilføje tilladelserne til. Hvis du ikke ved, hvad gruppe-DN er, skal du se feltet Bemærkninger til indsamling af disse oplysninger.
Eksempel:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) Når tilladelsen er tilføjet, kan du bekræfte ændringerne ved at køre kommandoen find-alle-tilladelser fra trin 2.
5) Log på NMC med en AD-bruger, der tilhører den gruppe, du lige har tilføjet tilladelser til og kan bekræfte, om du kan se NMC-rollerne eller NMC-brugerindstillingerne.
Additional Information
Ovenstående procedurer kræver kendskab til det entydige navn (DN) for en AD-gruppe, som AD-brugere tilhører. Dette kan bekræftes af din AD-administrator, men kan også indsamles ved hjælp af authc_config og authc_mgmt kommandoer på NetWorker-serveren. For at indsamle disse oplysninger skal du også kende den lejer og det domæne, der er konfigureret til dine LDAP AD eksterne godkendelser:
1) Log på NetWorker-serveren og åbn en kommandoprompt med administratorrettigheder.
2) Bekræft, om en lejer er konfigureret (i de fleste tilfælde anvendes standard):
3) Når du har lejernavnet, kan du køre følgende kommando for at forespørge om LDAP AD-grupper for en bestemt AD-bruger:
Eksempel:
1) Log på NetWorker-serveren og åbn en kommandoprompt med administratorrettigheder.
2) Bekræft, om en lejer er konfigureret (i de fleste tilfælde anvendes standard):
authc_config -u Administrator -p password -e find-all-tenants
Bemærk: Den angivne konto er NetWorker-administratorkontoen/-adgangskoden.
Eksempel:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D "query-tenant=tenant-name" -D "query-domain=domain-name" -D "user-name=ad-user"
Bemærk: Angiv det lejernavn, der blev indsamlet fra kommandoen i trin 2. Domænenavnet skal stemme overens med den, der blev angivet ved konfiguration af ekstern LDAP AD-godkendelse. ikke nødvendigvis domænet, som det vises i en DNS-forespørgsel. Angiv domænenavnet, som du ville, når du logger på NMC. Angiv en AD-bruger til brugernavnet.
Eksempel:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
Fra dette output bør du nu have det fulde DN-navn på den AD-gruppe, du vil tilføje tilladelser til. Dette kan kopieres og indsættes i felterne Eksterne roller i NMC-rollerne og NetWorker-serverens brugergrupper. Det kan også bruges i kommandoen FULL_CONTROL tilladelser.
authc_config og authc_mgmt er meget nyttige kommandoer til test/konfiguration af ekstern godkendelse. For at se alle de tilgængelige muligheder skal du køre kommandoerne på egen hånd uden flag/switche.
authc_config og authc_mgmt er meget nyttige kommandoer til test/konfiguration af ekstern godkendelse. For at se alle de tilgængelige muligheder skal du køre kommandoerne på egen hånd uden flag/switche.
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 05 Oct 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.