NetWorker: authc_config 스크립트를 사용하여 LDAP/AD를 설정하는 방법

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	테넌트는 두 개 이상의 인증 방법을 사용하거나 여러 기관을 구성해야 하는 환경에서 사용할 수 있습니다. 하나의 AD/LDAP 서버만 사용하는 경우 테넌트 생성이 필요하지 않습니다. 기본 테넌트 config-tenant-id=1을 사용할 수 있습니다. 테넌트 사용은 로그인 방법을 변경한다는 점에 유의해야 합니다. 기본 테넌트 사용 시 기본 테넌트 이외의 테넌트에서 "domain\user"를 사용하여 NMC에 로그인할 수 있습니다. 이 경우 NMC에 로그인할 때 "tenant-name\domain\user"를 지정해야 합니다.
config-active-directory	Microsoft AD(Active Directory) 서버를 사용하는 경우: y LDAP 서버를 사용하는 경우(예: OpenLDAP: N 참고: "authc-create-ad-config"와 "authc-create-ldap-config" 에는 두 가지 스크립트 템플릿이 있습니다. 사용 중인 인증 플랫폼에 올바른 템플릿을 사용하고 있는지 확인합니다.
config-name	이 이름은 NetWorker에 추가되는 인증 구성의 식별자일 뿐입니다.
config-domain	NetWorker에 로그인하는 데 사용되는 도메인 이름입니다. 예를 들어 "emclab.local"을 "emclab"으로 설정할 수 있습니다. 이 설정은 AD/LDAP와 통합된 워크스테이션 및 시스템에 로그인하는 방법에 맞게 설정할 수 있습니다.
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: 비 SSL 통신을 사용하는 경우 ldap를 지정합니다. SSL 통신을 구성하는 경우 ldaps를 지정합니다. 참고:  LDAPS를 사용하도록 NetWorker Authentication Service를 구성하기 전에 LDAPS 서버의 CA 인증서를 Java 신뢰 키 저장소에 저장해야 합니다. 이 절차에 대한 자세한 내용은 NetWorker를 참조하십시오. LDAPS 인증을 구성하는 방법 ldap/ldaps는 소문자여야 합니다. 호스트 이름/IP 주소: AD 또는 LDAP 서버의 완전하게 확인 가능한 호스트 이름 또는 IP 주소를 지정합니다. Port: LDAP를 사용하는 경우 포트 389를 지정합니다. LDAPS를 사용하는 경우 포트 636을 지정합니다. Base-DN: 도메인의 DC(Domain Component) 값으로 구성된 기본 DN을 지정합니다(예: DC=my, DC=domain, DC=com.
config-user-dn	LDAP 또는 AD 디렉토리에 대한 전체 읽기 액세스 권한이 있는 사용자 계정의 전체 DN(Distinguished Name)을 지정합니다(예: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	config-user-dn에 지정된 계정의 암호를 지정합니다.
config-user-search-path	이 필드는 비어 있을 수 있으며, 이 경우 authc가 전체 도메인을 쿼리할 수 있습니다. 이러한 사용자/그룹이 NMC에 로그인하고 NetWorker 서버를 관리하려면 NMC/NetWorker 서버 액세스에 대한 사용 권한이 계속 부여되어야 합니다. config-server-address에서 Base DN을 지정한 경우 도메인에 대한 상대 경로(Base DN 제외)를 지정합니다.
config-user-id-attr	LDAP 또는 AD 계층 구조의 사용자 객체와 연결된 사용자 ID입니다. LDAP의 경우 이 속성은 일반적으로 uid입니다. AD의 경우 이 속성은 일반적으로 sAMAccountName입니다.
config-user-object-class	LDAP 또는 AD 계층 구조에서 사용자를 식별하는 오브젝트 클래스입니다. 예를 들어 LDAP(inetOrgPerson) 또는 사용자(AD)
config-group-search-path	config-user-search-path와 마찬가지로 이 필드는 비어 있을 수 있으며, 이 경우 authc는 전체 도메인을 쿼리할 수 있습니다. config-server-address에서 Base DN을 지정한 경우 도메인에 대한 상대 경로(Base DN 제외)를 지정합니다.
config-group-name-attr	그룹 이름을 식별하는 속성입니다. 예를 들어 cn
config-group-object-class	LDAP 또는 AD 계층 구조의 그룹을 식별하는 오브젝트 클래스입니다. LDAP의 경우 groupOfUniqueNames 또는 groupOfNames를 사용합니다.  참고: groupOfUniqueNames 및 groupOfNames 외에 다른 그룹 객체 클래스가 있습니다.  LDAP 서버에 구성된 오브젝트 클래스를 사용합니다. AD의 경우 그룹을 사용합니다.
config-group-member-attr	그룹 내 사용자의 그룹 구성원입니다. LDAP의 경우: Group Object Class가 groupOfNames인 경우 속성은 일반적으로 구성원입니다. Group Object Class가 groupOfUniqueNames인 경우 특성은 일반적으로 고유 메모리입니다.  AD의 경우 값은 일반적으로 구성원입니다.
config-user-search-filter	(선택 사항) NetWorker Authentication Service에서 LDAP 또는 AD 계층 구조에서 사용자 검색을 수행하는 데 사용할 수 있는 필터입니다. RFC 2254 는 필터 형식을 정의합니다.
config-group-search-filter	(선택 사항) NetWorker Authentication Service에서 LDAP 또는 AD 계층 구조에서 그룹 검색을 수행하는 데 사용할 수 있는 필터입니다. RFC 2254 는 필터 형식을 정의합니다.
config-search-subtree	(선택 사항) 외부 기관이 하위 트리 검색을 수행해야 하는지 여부를 지정하는 yes 또는 no 값입니다. 기본값: 아니요
config-user-group-attr	(선택 사항) 이 옵션은 사용자 객체의 속성 내에서 사용자의 그룹 구성원 자격을 식별하는 구성을 지원합니다. 예를 들어 AD의 경우 Attribute memberOf를 지정합니다.
config-object-class	(선택 사항) 외부 인증 기관의 오브젝트 클래스입니다. RFC 4512 는 오브젝트 클래스를 정의합니다. 기본값: 객체 클래스입니다.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local