NetWorker: Konfigurowanie protokołu LDAP/AD przy użyciu skryptów authc_config

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Dzierżawców można używać w środowiskach, w których można użyć więcej niż jednej metody uwierzytelniania i/lub w przypadku konieczności skonfigurowania wielu urzędów. Nie trzeba tworzyć dzierżawcy, jeśli używany jest tylko jeden serwer AD/LDAP; Można użyć domyślnego dzierżawcy, config-tenant-id=1. Należy pamiętać, że korzystanie z dzierżawców zmienia metodę logowania. Gdy używany jest domyślny dzierżawca, można zalogować się do NMC przy użyciu "domain\user", jeśli używany jest dzierżawca inny niż domyślny dzierżawca, należy określić "nazwa-dzierżawcy\domena\użytkownik" podczas logowania się do NMC.
config-active-directory	W przypadku korzystania z serwera Microsoft Active Directory (AD): y w przypadku korzystania z serwera LDAP (np. OpenLDAP): N Uwaga: Istnieją dwa różne szablony skryptów "authc-create-ad-config"  i "authc-create-ldap-config". Upewnij się, że używasz prawidłowego szablonu dla używanej platformy uwierzytelniania.
nazwa konfiguracji	Ta nazwa jest tylko identyfikatorem konfiguracji uwierzytelniania dodawanej do NetWorker.
config-domain	Jest to nazwa domeny używana do logowania się do networker. Na przykład "emclab.local" można ustawić na "emclab". Można je skonfigurować tak, aby odpowiadały sposobowi logowania się do stacji roboczych i systemów zintegrowanych z usługą AD/LDAP.
config-server-address	<protokół>://<hostname_or_ip_address>:<port>/<protokół base_dn> : Określ ldap, jeśli używana jest komunikacja bez SSL. Określ ldaps, jeśli konfigurujesz komunikację SSL. Uwagi:  Przed skonfigurowaniem usługi uwierzytelniania NetWorker w celu korzystania z protokołu LDAPS należy zapisać certyfikat urzędu certyfikacji z serwera LDAPS w magazynie kluczy zaufania Java. Aby uzyskać więcej informacji na temat tej procedury, zobacz NetWorker: Jak skonfigurować uwierzytelnianie LDAPS ldap/ldaps musi być małej litery. Nazwa hosta/adres IP: Określ w pełni rozwiązywalną nazwę hosta lub adres IP serwera AD lub LDAP. Port: Jeśli używasz protokołu LDAP, określ port 389. Jeśli używasz protokołu LDAPS, określ port 636. Baza danych: Określ bazę nazwy DN składającą się z wartości składnika domeny (DC) domeny, np.: DC=my,DC=domena,DC=com.
config-user-dn	Określ pełną nazwęwyróżniającą (DN) konta użytkownika, które ma pełny dostęp do odczytu do katalogu LDAP lub AD, np.: CN =Administrator, CN=Users,DC=my,DC=domena,DC=com.
config-user-dn-password	Określ hasło do konta określonego w pliku config-user-dn.
config-user-search-path	To pole może pozostać puste, w którym to przypadku authc może wysyłać kwerendy do całej domeny. Przed zalogowaniem się użytkowników/grup do NMC i zarządzaniem serwerem NetWorker nadal należy przyznać uprawnienia dostępu do serwera NMC/NetWorker. Jeśli w adresie konfiguracyjnej serwera określono bazę danych, należy określić ścieżkę względną (z wyłączeniem bazy danych) do domeny.
config-user-id-attr	Identyfikator użytkownika powiązany z obiektem użytkownika w hierarchii LDAP lub AD. W przypadku protokołu LDAP ten atrybut jest powszechnie uid. W przypadku AD ten atrybut jest zazwyczaj nazwą sAMAccountName.
config-user-object-class	Klasa obiektów identyfikująca użytkowników w hierarchii LDAP lub AD. Na przykład inetOrgPerson (LDAP) lub użytkownik (AD)
config-group-search-path	Podobnie jak ścieżka config-user-search-path, to pole może pozostać puste, w którym to przypadku authc może wysyłać kwerendy do pełnej domeny. Jeśli w adresie konfiguracyjnej serwera określono bazę danych, należy określić ścieżkę względną (z wyłączeniem bazy danych) do domeny.
config-group-name-attr	Atrybut identyfikujący nazwę grupy. Na przykład cn
config-group-object-class	Klasę obiektów identyfikującą grupy w hierarchii LDAP lub AD. W przypadku protokołu LDAP należy użyć groupOfUniqueNames lub groupOfNames.  Uwaga: Istnieją inne klasy obiektów grupy oprócz grupOfUniqueNames i groupOfNames.  Użyj dowolnej klasy obiektów skonfigurowanych na serwerze LDAP. W przypadku AD należy użyć grupy.
config-group-member-attr	Członkostwo w grupie użytkowników w grupie. W przypadku protokołu LDAP: Kiedy klasa obiektów grupy to groupOfNames, atrybut jest powszechnie elementem członkowskim. Gdy klasa obiektu grupy to groupOfUniqueNames, atrybut jest zazwyczaj unikatowy.  W przypadku AD wartość jest powszechnie członkiem.
config-user-search-filter	(Opcjonalnie). Filtr, za pomocą który usługa uwierzytelniania NetWorker może wykonać wyszukiwanie użytkowników w hierarchii LDAP lub AD. RFC 2254 określa format filtra.
config-group-search-filter	(Opcjonalnie). Filtr, za pomocą który usługa uwierzytelniania NetWorker może wykonać wyszukiwanie grupowe w hierarchii LDAP lub AD. RFC 2254 określa format filtra.
config-search-subtree	(Opcjonalnie). Wartość yes lub no określająca, czy zewnętrzny organ powinien wykonywać wyszukiwanie poddrzewa. Wartość domyślna: nie
config-user-group-attr	(Opcjonalnie). Ta opcja obsługuje konfiguracje identyfikujące członkostwo w grupie użytkownika we właściwościach obiektu użytkownika. Na przykład w przypadku AD należy określić element członkowski atrybutu.
config-object-class	(Opcjonalnie). Klasę obiektów zewnętrznego urzędu uwierzytelniania. RFC 4512 definiuje klasę obiektów. Wartość domyślna: Objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local