排除CUIC用户集合权限故障

简介

本文档介绍Cisco Unified Intelligence Center(CUIC)服务器中用户权限的故障排除过程。 

CUIC用户集合权限

典型的CUIC问题是特定用户无法看到用户拥有权限的集合或值列表。

检查CUIC网页中的权限

在本示例中，用户cuicu1拥有对Tech集合的执行权限。检查为用户配置的权限。

同一个用户cuicu1属于一个组admin_custom，该组有权限访问Sales集合。

因此，当用户运行报告时，列表中有两个可用集合：销售和技术。

检查CUIC数据库中的权限

同样的信息也可从数据库中验证。 

步骤1.获取用户组。

admin:run sql SELECT gm.memberid,u.name,gm.groupid,g.name FROM cuic_data:cuicgroupmember gm \
INNER JOIN cuic_data:cuicuser u ON u.id==gm.memberid INNER JOIN cuic_data:cuicgroup g ON g.id==gm.groupid WHERE u.name LIKE '%cuicu1%'
memberid name groupid name
================================ ==================== ================================ ============
F7DB93871000015C0000001E0A302F8E ADMINISTRATOR\cuicu1 2222222222222222222222222222AAAA AllUsers
F7DB93871000015C0000001E0A302F8E ADMINISTRATOR\cuicu1 7CA0F8121000015C000003DE0A302F8E admin_custom

此用户的组合权限列表包括三个实体：第一个用于用户本身，第二个和第三个用于用户admin_custom所属的组。这些值将用于后续查询。

F7DB93871000015C0000001E0A302F8E, 2222222222222222222222222222AAAA, 7CA0F8121000015C000003DE0A302F8E

步骤2.获取此用户及其组对集合的所有权限。

admin:run sql SELECT ca.usergroupid user_or_groupid,ca.collectionid,c.name collection FROM cuic_data:cuiccollectionauth ca \
INNER JOIN cuic_data:cuiccollection c ON c.id==ca.collectionid \
WHERE ca.usergroupid IN ('F7DB93871000015C0000001E0A302F8E','2222222222222222222222222222AAAA','7CA0F8121000015C000003DE0A302F8E')
user_or_groupid                  collectionid                     collection
================================ ================================ ==========
F7DB93871000015C0000001E0A302F8E EA6464501000015D0000007A0A302F8E Tech
7CA0F8121000015C000003DE0A302F8E EA6420C11000015D000000750A302F8E Sales

步骤2中的输出中的集合列表应该与用户在CUIC网页中看到的列表匹配。此外，CUIC集群中的所有节点上的数据库输出必须相同。

如果发现权限不一致，请联系Cisco TAC支持。