NetWorker：authc_configスクリプトを使用してLDAP/ADをセットアップする方法

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	テナントは、複数の認証方法を使用できる環境や、複数の認証機関を構成する必要がある場合に使用できます。AD/LDAPサーバーが1つだけ使用されている場合は、テナントを作成する必要はありません。デフォルトのテナントである config-tenant-id=1 を使用できます。テナントを使用すると、ログイン方法が変更されることに注意することが重要です。デフォルト テナントを使用する場合は、「domain\user」を使用してNMCにログインできます。デフォルト テナント以外のテナントを使用する場合は、NMCにログインするときに「tenant-name\domain\user」を指定する必要があります。
config-active-directory	Microsoft Active Directory(AD)サーバーを使用している場合: y LDAPサーバーを使用している場合(例: OpenLDAP: N メモ：2つの異なるスクリプト テンプレート「authc-create-ad-config」 と「authc-create-ldap-config」があります。使用中の認証プラットフォームに正しいテンプレートを使用していることを確認します。
config-name	この名前は、NetWorkerに追加される認証構成の識別子のみです。
config-domain	これは、NetWorkerへのログインに使用されるドメイン名です。たとえば、「emclab.local」は「emclab」に設定できます。これは、AD/LDAPと統合されたワークステーションおよびシステムへのログイン方法に合わせて設定できます。
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: 非SSL通信を使用する場合は、ldapを指定します。 SSL通信を構成する場合は、ldapsを指定します。 メモ:  LDAPSを使用するようにNetWorker認証サービスを構成する前に、 LDAPSサーバーのCA証明書をJava信頼キーストアに保存する必要があります。この手順の詳細については、「 NetWorker: LDAPS認証を構成する方法 ldap/ldapsは小文字にする必要があります。 ホスト名/IPアドレス: ADまたはLDAPサーバーの完全解決可能なホスト名またはIPアドレスを指定します。 Port: LDAPを使用している場合は、ポート389を指定します。 LDAPSを使用している場合は、ポート636を指定します。 ベースDN: ドメインのドメイン コンポーネント(DC)値で構成されるベースDNを指定します。例: DC=my,DC=domain,DC=com
config-user-dn	LDAPまたはADディレクトリへの完全な読み取りアクセス権を持つユーザー アカウントの完全なDN(識別名)を指定します。例: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com
config-user-dn-password	config-user-dnで指定されたアカウントのパスワードを指定します。
config-user-search-path	このフィールドは空白のままにしておくことができます。この場合、authcはドメイン全体をクエリーできます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理するには、引き続きNMC/NetWorkerサーバー へのアクセス権を付与する必要があります。config-server-address でベースDNが指定されている場合は、ドメインへの 相対パス(ベースDNを除く)を指定します。
config-user-id-attr	LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。 LDAPの場合、この属性は一般的にuidです。 ADの場合、この属性は一般的にsAMAccountNameです。
config-user-object-class	LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。 たとえば、inetOrgPerson(LDAP)またはユーザー(AD)
config-group-search-path	config-user-search-pathと同様に、このフィールドは空白のままにすることができます。この場合、authcはフル ドメインのクエリーを実行できます。config-server-address でベースDNが指定されている場合は、ドメインへの 相対パス(ベースDNを除く)を指定します。
config-group-name-attr	グループ名を識別する属性。例: cn
config-group-object-class	LDAPまたはAD階層内のグループを識別するオブジェクト クラス。 LDAPの場合は、 groupOfUniqueNames または groupOfNames を使用します。  メモ: groupOfUniqueNamesとgroupOfNames以外にもグループ オブジェクト クラスがあります。  LDAPサーバーで構成されているオブジェクト クラスを使用します。 ADの場合は、 group を使用します。
config-group-member-attr	グループ内のユーザーのグループ メンバーシップ。 LDAPの場合: グループ オブジェクト クラスがgroupOfNamesの場合、属性は一般的にメンバーです。 グループ オブジェクト クラスがgroupOfUniqueNamesの場合、属性は一般的に一意のメンバーです。  ADの場合、値は一般的にメンバーです。
config-user-search-filter	(オプション)NetWorker認証サービスがLDAPまたはAD階層でユーザー検索を実行するために使用できるフィルター。RFC 2254 はフィルター形式を定義します。
config-group-search-filter	(オプション)LdapまたはAD階層でグループ検索を実行するためにNetWorker認証サービスが使用できるフィルター。RFC 2254 はフィルター形式を定義します。
config-search-subtree	(オプション)外部機関がサブツリー検索を実行するかどうかを指定する yes または no 値。 デフォルト値: no
config-user-group-attr	(オプション)このオプションは、ユーザー オブジェクトのプロパティ内のユーザーのグループ メンバーシップを識別する構成をサポートします。たとえば、ADの場合は、 memberOf 属性を指定します。
config-object-class	(オプション)外部認証機関のオブジェクト クラス。RFC 4512 はオブジェクト クラスを定義します。デフォルト値: objectclass。

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local