NetWorker: Як налаштувати LDAP/AD за допомогою сценаріїв authc_config

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Клієнти можуть використовуватися в середовищах, де може використовуватися більше одного методу автентифікації та/або коли потрібно налаштувати кілька центрів. Вам не потрібно створювати клієнта, якщо використовується лише один сервер AD/LDAP; Ви можете використовувати типовий клієнт config-tenant-id=1. Важливо зауважити, що використання орендарів змінює ваш спосіб входу. Коли використовується клієнт за замовчуванням, ви можете увійти в NMC за допомогою "domain\user", якщо використовується клієнт, відмінний від клієнта за замовчуванням, ви повинні вказати "tenant-name\domain\user" під час входу в NMC.
config-active-directory	Якщо ви використовуєте сервер Microsoft Active Directory (AD), виконайте такі дії: y Якщо ви використовуєте сервер LDAP (наприклад: OpenLDAP): n Примітка: Існує два різних шаблони скриптів: "authc-create-ad-config" і " authc-create-ldap-config". Переконайтеся, що ви використовуєте правильний шаблон для використовуваної платформи автентифікації.
config-name	Це ім'я є лише ідентифікатором конфігурації автентифікації, що додається до NetWorker.
config-домен	Це доменне ім'я, яке використовується для входу в NetWorker. Наприклад, для "emclab.local" можна встановити значення "emclab". Це можна налаштувати відповідно до того, як ви входите на свої робочі станції та системи, інтегровані з AD/LDAP.
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Протокол: Вказати ldap, якщо використано зв'язок без SSL. Вкажіть ldap, якщо ви налаштовуєте зв'язок SSL. Нотатки:  Перш ніж налаштувати службу автентифікації NetWorker на використання LDAPS, необхідно зберегти сертифікат ЦС із сервера LDAPS у сховищі довірчих ключів Java. Для отримання додаткової інформації про цю процедуру дивіться NetWorker: Як налаштувати розпізнавання LDAPS LDAP/LDAP слід писати в нижньому регістрі. Ім'я хоста/IP-адреса: Укажіть повністю розв'язуване ім'я хоста або IP-адресу вашого сервера AD або LDAP. Порт: Якщо ви користуєтеся LDAP, вкажіть порт 389. Якщо ви користуєтеся LDAPS, вкажіть порт 636. Base-DN: Укажіть базовий DN, який складається зі значень компонента домену (DC) вашого домену, наприклад: DC=my,DC=домен,DC=com.
config-user-dn	Укажіть повне ім'я(DN) облікового запису користувача, який має повний доступ для читання каталогу LDAP або AD, наприклад: CN=Адміністратор,CN=Користувачі,DC=мій,DC=домен,DC=com.
config-user-dn-password	Вкажіть пароль для облікового запису, вказаного в config-user-dn.
config-user-search-path	Це поле можна залишити порожнім, у цьому випадку authc може надіслати запит до повного домену. Для доступу до сервера NMC/NetWorker все ще повинні бути надані дозволи, перш ніж ці користувачі/групи зможуть увійти в NMC і керувати сервером NetWorker. Якщо в адресі config-server було вказано Base DN, вкажіть відносний шлях (за винятком базового DN) до домену.
config-user-id-attr	Ідентифікатор користувача, пов'язаний з об'єктом користувача в ієрархії LDAP або AD. Для LDAP цим атрибутом, зазвичай, є uid. Для AD цим атрибутом зазвичай є sAMAccountName.
config-user-object-class	Клас об'єкта, який ідентифікує користувачів в ієрархії LDAP або AD. Наприклад, inetOrgPerson (LDAP) або користувач (AD)
config-group-search-path	Подібно до config-user-search-path, це поле можна залишити порожнім, у цьому випадку authc може надсилати запити до повного домену. Якщо в адресі config-server було вказано Base DN, вкажіть відносний шлях (за винятком базового DN) до домену.
config-group-name-attr	Атрибут, який ідентифікує назву групи. Наприклад, cn
config-group-object-class	Клас об'єкта, який ідентифікує групи в ієрархії LDAP або AD. Для LDAP використовуйте groupOfUniqueNames або groupOfNames.  Примітка. Існують й інші класи об'єктів групи, окрім groupOfUniqueNames та groupOfNames.  Використовувати будь-який клас об'єкта, налаштований на сервері LDAP. Для AD використовуйте group.
config-group-member-attr	Членство користувача в групі. Для LDAP: Якщо класом об'єкта Group є groupOfNames, атрибут зазвичай є членом. Якщо класом об'єкта групи є groupOfUniqueNames, атрибутом зазвичай є uniquemember.  Для AD значення зазвичай є членським.
config-user-search-filter	(Необов'язково.) Фільтр, який служба автентифікації NetWorker може використовувати для виконання пошуку користувачів в ієрархії LDAP або AD. RFC 2254 визначає формат фільтра.
config-group-search-filter	(Необов'язково.) Фільтр, який служба автентифікації NetWorker може використовувати для групового пошуку в ієрархії LDAP або AD. RFC 2254 визначає формат фільтра.
config-search-subtree	(Необов'язково.) Значення « так» або «ні », яке визначає, чи має зовнішній орган виконувати пошук у піддереві. Значення за замовчуванням: ні
config-user-group-attr	(Необов'язково.) Цей параметр підтримує конфігурації, які визначають членство в групі для користувача у властивостях об'єкта користувача. Наприклад, для AD вкажіть атрибут memberOf.
config-object-class	(Необов'язково.) Клас об'єкта зовнішнього центру автентифікації. RFC 4512 визначає клас об'єкта. Значення за замовчуванням: об'єкт.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local