NetWorker: Come configurare LDAP/AD utilizzando gli script authc_config

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-ID	I tenant possono essere utilizzati in ambienti in cui è possibile utilizzare più metodi di autenticazione e/o quando è necessario configurare più autorità. Non è necessario creare un tenant se è in uso un solo server AD/LDAP; È possibile utilizzare il tenant predefinito config-tenant-id=1. È importante notare che l'utilizzo dei tenant altera il metodo di accesso. Quando si utilizza il tenant predefinito, è possibile accedere a NMC utilizzando "dominio\utente" se si utilizza un tenant diverso dal tenant predefinito, è necessario specificare "tenant-name\domain\user" durante l'accesso a NMC.
config-active-directory	Se si utilizza un server Microsoft Active Directory (AD): y se si utilizza un server LDAP (ad esempio: OpenLDAP: N Nota: Esistono due diversi modelli di script "authc-create-ad-config"  e "authc-create-ldap-config". Accertarsi di utilizzare il template corretto per la piattaforma di autenticazione in uso.
config-name	Questo nome è solo un identificatore della configurazione di autenticazione aggiunta a NetWorker.
dominio di configurazione	Questo è il nome di dominio utilizzato per accedere a NetWorker. Ad esempio, "emclab.local" può essere impostato su "emclab". Questa opzione può essere impostata in modo da essere allineata alla modalità di accesso alle workstation e ai sistemi integrati con AD/LDAP.
config-server-address	<protocollo>://<hostname_or_ip_address>:<porta>/<protocollo base_dn> : Specificare ldap se viene utilizzata la comunicazione non SSL. Specificare ldaps se si sta configurando la comunicazione SSL. Note:  Prima di configurare il servizio di autenticazione NetWorker in modo che utilizzi LDAPS, è necessario archiviare il certificato CA dal server LDAPS nel keystore di attendibilità Java. Per ulteriori informazioni su questa procedura, vedere NetWorker: Come configurare l'autenticazione LDAPS ldap/ldaps deve essere in minuscolo. Nome host/indirizzo IP: Specificare il nome host o l'indirizzo IP completamente risolvibile del server AD o LDAP. Port: Se si utilizza LDAP, specificare la porta 389. Se si utilizza LDAPS, specificare la porta 636. Base-DN: Specificare il DN di base composto dei valori del componente di dominio (DC) del dominio, ad esempio: DC=my,DC=dominio,DC=com.
config-user-dn	Specificare il nomedistinto (DN) completo di un account utente con accesso completo in lettura alla directory LDAP o AD, ad esempio: CN=Amministratore,CN=Utenti,DC=my,DC=dominio,DC=com.
config-user-dn-password	Specificare la password per l'account specificato in config-user-dn.
config-user-search-path	Questo campo può essere lasciato vuoto, nel qual caso authc può eseguire una query sul dominio completo. Le autorizzazioni devono comunque essere concesse per l'accesso al server NMC/NetWorker prima che questi utenti/gruppi possano accedere a NMC e gestire il server NetWorker. Se un DN base è stato specificato nell'indirizzo del server di configurazione, specificare il percorso relativo (escluso il DN base) nel dominio.
config-user-id-attr	ID utente associato all'oggetto utente nella gerarchia LDAP o AD. Per LDAP, questo attributo è comunemente uid. Per AD, questo attributo è comunemente sAMAccountName.
classe config-user-object	La classe di object che identifica gli utenti nella gerarchia LDAP o AD. Ad esempio, inetOrgPerson (LDAP) o user (AD)
config-group-search-path	Come config-user-search-path, questo campo può essere lasciato vuoto nel qual caso authc è in grado di eseguire query sul dominio completo. Se un DN base è stato specificato nell'indirizzo del server di configurazione, specificare il percorso relativo (escluso il DN base) nel dominio.
config-group-name-attr	Attributo che identifica il nome del gruppo. Ad esempio, cn
classe config-group-object	La classe di object che identifica i gruppi nella gerarchia LDAP o AD. Per LDAP, utilizzare groupOfUniqueNames o groupOfNames.  Nota: Esistono altre classi di oggetti gruppo oltre a groupOfUniqueNames e groupOfNames.  Utilizzare qualsiasi classe di object configurata nel server LDAP. Per AD, utilizzare il gruppo.
config-group-member-attr	Appartenenza a un gruppo dell'utente all'interno di un gruppo. Per LDAP: Quando la classe Group Object è groupOfNames, l'attributo è comunemente membro. Quando la classe Group Object è groupOfUniqueNames, l'attributo è comunemente un membro univoco.  Per AD, il valore è comunemente membro.
config-user-search-filter	(Opzionale). Il filtro che il servizio di autenticazione NetWorker può utilizzare per eseguire ricerche utente nella gerarchia LDAP o AD. RFC 2254 definisce il formato del filtro.
config-group-search-filter	(Opzionale). Il filtro che il servizio di autenticazione NetWorker può utilizzare per eseguire ricerche di gruppo nella gerarchia LDAP o AD. RFC 2254 definisce il formato del filtro.
config-search-subtree	(Opzionale). Un valore yes o no che specifica se l'autorità esterna deve eseguire ricerche sottoalbero. Valore predefinito: no
config-user-group-attr	(Opzionale). Questa opzione supporta configurazioni che identificano l'appartenenza a un gruppo per un utente all'interno delle proprietà dell'oggetto utente. Ad esempio, per AD, specificare l'attributo memberOf.
config classe object	(Opzionale). La classe object dell'autorità di autenticazione esterna. RFC 4512 definisce la classe object. Valore predefinito: Objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local