NetWorker:AD/LDAP 用户看不到 NMC 用户或 NMC 角色“Unable to get user information from authentication service [Access is Denied]”
Summary: 您可以使用 LDAP AD 用户登录 NMC,但无法查看 NMC 角色或 NMC 用户。此时将显示错误消息“Unable to get user information from authentication service [Access is Denied]”。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
您可以使用 LDAP AD 用户登录 NMC,但无法查看 NMC 角色或 NMC 用户。此时将显示错误消息“Unable to get user information from authentication service [Access is Denied]”。
Cause
问题 1:NMC 角色“控制台安全管理员”和/或 NetWorker 服务器用户组的“安全管理员”
问题 2 中未指定 AD 组 DN:NetWorker 外部身份验证配置具有不正确或缺失的“配置用户组属性”。
问题 3:尚未授予FULL_CONTROL管理权限的 AD 组 DN。
问题 2 中未指定 AD 组 DN:NetWorker 外部身份验证配置具有不正确或缺失的“配置用户组属性”。
问题 3:尚未授予FULL_CONTROL管理权限的 AD 组 DN。
Resolution
问题 1:
1) 以默认 NetWorker 管理员 帐户身份登录 NMC。
2) 转至 Setup-->Users and Roles-->NMC Roles 。
3) 打开控制台安全管理员和控制台应用程序管理员角色的属性。
4) 在 外部角色 字段中,应为 NetWorker 管理员指定 AD 组的 可分辨名称 (DN)。
注意:如果您不确定指定的 DN,请参阅 注释 字段,了解可完成收集此信息的步骤。还应将 AD 组 DNs 添加到相应的 NetWorker 服务器的 “用户组的外部角色”字段中。从 NMC 作为默认 NetWorker 管理员帐户连接到 NetWorker 服务器,然后转到 Server-->User Groups 。如果没有这一点,您将能够以 AD 用户身份登录 NMC,但不能连接到 NetWorker 服务器。
例子:
在此情况下,“Config User Group Attribute”为空。对于基于 AD 的身份验证,此字段应设置为 memberOf 。如果此字段为空或具有其他值,请完成以下操作:
2) 要通过命令更新此值,请运行以下命令:
1) 以默认 NetWorker 管理员 帐户身份登录 NMC。
2) 转至 Setup-->Users and Roles-->NMC Roles 。
3) 打开控制台安全管理员和控制台应用程序管理员角色的属性。
4) 在 外部角色 字段中,应为 NetWorker 管理员指定 AD 组的 可分辨名称 (DN)。
注意:如果您不确定指定的 DN,请参阅 注释 字段,了解可完成收集此信息的步骤。还应将 AD 组 DNs 添加到相应的 NetWorker 服务器的 “用户组的外部角色”字段中。从 NMC 作为默认 NetWorker 管理员帐户连接到 NetWorker 服务器,然后转到 Server-->User Groups 。如果没有这一点,您将能够以 AD 用户身份登录 NMC,但不能连接到 NetWorker 服务器。
例子:
5) NetWorker 管理员 AD 组的 DN 添加到两个角色后。以属于新添加组的 AD 用户身份登录 NMC,并确认您是否能够看到 NMC 用户和 NMC 角色配置。
问题 2:
1) 使用配置 ID 检查现有配置:
问题 2:
1) 使用配置 ID 检查现有配置:
authc_config -u Administrator -p password -e find-all-configs
authc_config -u Administrator -p password -e find-config -D config-id=#
提醒:指定的帐户是 NetWorker 管理员帐户/密码。将 # 替换为在第一个命令中收集的配置 ID。
例子:
例子:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute :
...
...
在此情况下,“Config User Group Attribute”为空。对于基于 AD 的身份验证,此字段应设置为 memberOf 。如果此字段为空或具有其他值,请完成以下操作:
2) 要通过命令更新此值,请运行以下命令:
authc_config -u Administrator -p password -e update-config -D config-id=# -D config-user-group-attr=memberOf
提醒:在某些系统中,您将无法更新单个值。如果您收到上述命令的错误,建议使用以下下面的脚本模板:
Linux:/opt/nsr/authc-server/bin
Windows:C:\Program Files\EMC NetWorker\nsr\authc-server\bin
注:上述 Windows 路径假定使用了默认 NetWorker 安装路径。
注:上述 Windows 路径假定使用了默认 NetWorker 安装路径。
如果正在使用脚本,您可以将“-e add-config”更改为“-e update-config”,并根据您的环境填充其余字段。在脚本模板中,配置用户组属性应设置为“-D ”config-user-group-attr=memberOf“(默认情况下)。更新配置后,您应该会看到以下更改:authc_config -u Administrator -p password -e find-config -D config-id=#
例子:
例子:
authc_config -u Administrator -e find-config -D config-id=1
Enter password:
Config Id : 1
Config Tenant Id : 1
Config Name : lab
Config Domain : emclab
Config Server Address : ldap://winsrvr2k16.emclab.local:389/DC=emclab,DC=local
Config User DN : CN=Administrator,CN=Users,DC=emclab,DC=local
Config User Group Attribute : memberOf
...
...
3) 注销 NMC 并使用 AD 用户重新登录
问题 3:
在某些情况下,即使将 AD 组 DN 添加到控制台安全管理员和控制台应用程序管理员的“外部角色”字段,您仍会收到“拒绝访问”错误。FULL_CONTROL权限可以添加到 NetWorker 管理员 AD 组。
1) 在 NetWorker 服务器
上打开提升的命令提示符 2) 确认哪些 AD 组已设置FULL_CONTROL权限:
在某些情况下,即使将 AD 组 DN 添加到控制台安全管理员和控制台应用程序管理员的“外部角色”字段,您仍会收到“拒绝访问”错误。FULL_CONTROL权限可以添加到 NetWorker 管理员 AD 组。
1) 在 NetWorker 服务器
上打开提升的命令提示符 2) 确认哪些 AD 组已设置FULL_CONTROL权限:
authc_config -u Administrator -p password -e find-all-permissions
提醒:指定的帐户是 NetWorker 管理员帐户/密码。
3)如果未指定 NetWorker 管理员组的 DN,请运行以下命令:
3)如果未指定 NetWorker 管理员组的 DN,请运行以下命令:
authc_config -u Administrator -p password -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=group-name,ou=ou-name,dc=domain,dc=domain"
提醒:permission-group-dn 应包含要将权限添加到 的组的完整 DN。如果您不确定组 DN,请参阅 Notes 字段以收集此信息。
示例:
authc_config -u Administrator -e add-permission -D "permission-name=FULL_CONTROL" -D "permission-group-dn=cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local"
Enter password:
Permission FULL_CONTROL is created successfully.
4) 添加权限后,您可以通过从步骤 2 运行 find-all-permissions 命令来确认更改。
5) 使用属于您刚添加权限的组的 AD 用户登录 NMC,并确认您是否能够看到 NMC 角色或 NMC 用户设置。
Additional Information
上述过程需要知道 AD 用户所属的 AD 组的可分辨名称 (DN)。这可以由您的 AD 管理员确认,但也可以在 NetWorker 服务器上使用 authc_config 和 authc_mgmt 命令进行收集。为了收集此信息,您还需要知道为您的 LDAP AD 外部身份验证配置的租户和域:
1) 登录 NetWorker 服务器并打开提升的命令提示符。
2) 确认是否已配置租户(在大多数情况下使用默认值):
3) 拥有租户名称后,您可以运行以下命令来查询特定 AD 用户的 LDAP AD 组:
例子:
1) 登录 NetWorker 服务器并打开提升的命令提示符。
2) 确认是否已配置租户(在大多数情况下使用默认值):
authc_config -u Administrator -p password -e find-all-tenants
提醒:指定的帐户是 NetWorker 管理员帐户/密码。
示例:
C:\>authc_config -u Administrator -e find-all-tenants
Enter password:
The query returns 3 records.
Tenant Id Tenant Name
1 default
7 emc
8 test
authc_mgmt -u Administrator -p password -e query-ldap-groups-for-user -D “query-tenant=tenant-name” -D “query-domain=domain-name” -D “user-name=ad-user”
提醒:在步骤 2 中指定从 命令收集的租户名称。域名需要与配置 LDAP AD 外部身份验证时的指定方式相匹配;不一定是 DNS 查询中显示的域。指定登录 NMC 时的域名。为用户名指定 AD 用户。
例子:
C:\>authc_mgmt -u Administrator -e query-ldap-groups-for-user -D "query-tenant=default" -D "query-domain=emclab" -D "user-name=bkupadmin"
Enter password:
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local
从此输出中,您现在应该具有要向 添加权限的 AD 组的完整 DN 名称。这可以拷贝并粘贴到 NMC 角色和 NetWorker 服务器的用户组中的“外部角色”字段中。它也可以在FULL_CONTROL权限命令中使用。
authc_config 和 authc_mgmt 是用于测试/配置外部身份验证的非常有用的命令。要查看所有可用选项,请自行运行命令,没有标记/交换机。
authc_config 和 authc_mgmt 是用于测试/配置外部身份验证的非常有用的命令。要查看所有可用选项,请自行运行命令,没有标记/交换机。
Affected Products
NetWorkerProducts
NetWorker, NetWorker Management ConsoleArticle Properties
Article Number: 000039819
Article Type: Solution
Last Modified: 05 Oct 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.