NetWorker：如何使用authc_config腳本設定 LDAP/AD

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	租使用者可在可以使用一個以上驗證方法的環境中使用，及/或在需要設定多個授權機構時使用。如果只使用一個 AD/LDAP 伺服器，則不需要建立租戶;您可以使用預設租使用者 config-tenant-id=1。請注意，使用租戶會改變您的登入方式。使用預設租使用者時，如果使用預設租使用者以外的租使用者，您可以使用「domain\user」登入 NMC，您登入 NMC 時必須指定「tenant-name\domain\user」。
config-active-directory	如果您使用的是 Microsoft Active Directory （AD） 伺服器：y 如果您使用的是 LDAP 伺服器 （例如：OpenLDAP：n 注意：有兩個不同的腳本範本「authc-create-ad-config」   和「authc-create-ldap-config」。請確定您在使用中的驗證平臺使用正確的範本。
config-name	此名稱只是新增至 NetWorker 之驗證組態的識別碼。
config-domain	這是用於登入 NetWorker 的功能變數名稱。例如，「emclab.local」可設為「emclab」。此選項可設定為符合您登入工作站的方式，以及與 AD/LDAP 整合的系統。
config-server-address	< 通訊協定 > ：// < hostname_or_ip_address > ： < 埠 > / < base_dn > 通訊協定： 如果使用非 SSL 通訊，請指定ldap。 如果您要設定 SSL 通訊，請指定ldaps。 注意：  在設定 NetWorker 驗證服務以使用 LDAPS之前，您必須將 LDAPS 伺服器的 CA 憑證儲存在 JAVA trust Keystore 中。如需此程式的詳細資訊，請參閱 NetWorker：如何設定 LDAPS 驗證 ldap/ldaps 必須為較低外殼。 主機名稱/IP 位址： 指定 AD 或 LDAP 伺服器完全可解析的主機名稱或 IP 位址。 連接埠： 如果您使用的是 LDAP，請指定埠 389。 如果您使用的是 LDAPS指定埠636。 Base-DN： 指定您網域的網域元件 （DC） 值所包含的基本 DN，例如：DC=my、DC=domain、DC=com。
config-user-dn	指定具有完整讀取存取 LDAP 或 AD 目錄之使用者帳戶的完整 辨別名稱 （DN），例如：CN=Administrator、CN=Users、DC=my、DC=domain、DC=com。
config-user-dn-password	為 config-user-dn 中指定的帳號指定密碼。
config-user-search-path	此欄位可保留空白，在此情況下，authc 可以查詢完整網域。在這些使用者/群組可以登入 NMC 並管理 NetWorker 伺服器之前，仍必須授予 NMC/NetWorker 伺服器存取權。如果在 config-server 位址中指定了 Base DN，請指定網域的 相對路徑（不包括基本 DN）。
config-user-id-attr	與 LDAP 或 AD 階層中的使用者物件相關聯的使用者 ID。 若為 LDAP，此屬性通常為 uid。 對於 AD，此屬性通常為sAMAccountName。
config-user-object-class	識別 LDAP 或 AD 階層中使用者的物件類別。 例如，inetOrgPerson （LDAP） 或使用者（AD）
config-group-search-path	如同 config-user-search-path，此欄位可以保留空白，在這種情況下，authc 能夠查詢完整網域。如果在 config-server 位址中指定了 Base DN，請指定網域的 相對路徑（不包括基本 DN）。
config-group-name-attr	識別組名的屬性。例如，cn
config-group-object-class	識別 LDAP 或 AD 階層中群組的物件類別。 若為 LDAP，請使用群組OfUniqueNames或GroupOfNames。  注意：除了群組OfUniqueNames 和 GroupOfNames 之外，還有其他群組物件類別。  使用 LDAP 伺服器中設定的任何物件類別。 若為 AD，請使用群組。
config-group-member-attr	使用者在群組中的群組成員資格。 若為 LDAP： 當群組物件類別為群組OfNames 時，屬性通常是成員。 當群組物件類別為GroupOfUniqueNames時，該屬性通常為唯一名稱。  對於 AD，這個值通常是成員。
config-user-search-filter	（選用）。NetWorker 驗證服務可用來在 LDAP 或 AD 階層中執行使用者搜尋的篩選器。RFC 2254 定義篩選格式。
config-group-search-filter	（選用）。NetWorker 驗證服務可用來在 LDAP 或 AD 階層中執行群組搜尋的篩選器。RFC 2254 定義篩選格式。
config-search-subtree	（選用）。指定外部授權單位是否應執行子樹搜尋的 是 或 否 值。 預設值： 無
config-user-group-attr	（選用）。此選項支援在使用者物件屬性中識別使用者群組成員資格的組態。例如，針對 AD，請指定屬性成員。
config-object-class	（選用）。外部驗證授權的物件類別。RFC 4512 定義物件類別。預設值：物件分類。

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local