NetWorker: Como configurar o LDAP/AD usando authc_config scripts

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Os tenants podem ser usados em ambientes em que mais de um método de autenticação pode ser usado e/ou quando várias autoridades precisam ser configuradas. Você não precisará criar um tenant se apenas um servidor AD/LDAP estiver sendo usado; Você pode usar o tenant padrão, config-tenant-id=1. É importante observar que o uso de tenants altera seu método de log-in. Quando o tenant padrão é usado, você pode fazer log-in no NMC usando "domain\user" se um tenant diferente do tenant padrão for usado, você deverá especificar "tenant-name\domain\user" ao fazer log-in no NMC.
config-active-directory	Se você estiver usando um servidor do Microsoft Active Directory (AD): y Se estiver usando um servidor LDAP (por exemplo: OpenLDAP: N Nota: Há dois modelos de script diferentes "authc-create-ad-config"  e "authc-create-ldap-config". Certifique-se de usar o modelo correto para a plataforma de autenticação em uso.
config-name	Esse nome é apenas um identificador para a configuração de autenticação que está sendo adicionada ao NetWorker.
config-domain	Esse é o nome do domínio usado para fazer log-in no NetWorker. Por exemplo, "emclab.local" pode ser definido como "emclab". Isso pode ser definido para se alinhar à forma como você faz login em suas workstations e sistemas integrados ao AD/LDAP.
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: Especifique ldap se a comunicação não SSL for usada. Especifique ldaps se estiver configurando a comunicação SSL. Notas:  Antes de configurar o serviço de autenticação do NetWorker para usar lDAPS, você deve armazenar o certificado ca do servidor LDAPS no keystore de confiança do Java. Para obter mais informações sobre esse procedimento, consulte NetWorker: Como configurar a autenticação LDAPS Ldap/ldaps devem ser minúsculas. Hostname/endereço IP: Especifique o hostname ou endereço IP totalmente resolvível de seu servidor AD ou LDAP. Port: Se você estiver usando lDAP, especifique a porta 389. Se você estiver usando lDAPS, especifique a porta 636. Base-DN: Especifique seu DN de base, que é composto por seus valores de componente de domínio (DC) de seu domínio, por exemplo: DC=my,DC=domain,DC=com.
config-user-dn	Especifique o DN (Distinguished Name, nome distinto) completo de uma conta de usuário que tenha acesso completo de leitura ao diretório LDAP ou AD, por exemplo: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Especifique a senha da conta especificada no config-user-dn.
config-user-search-path	Esse campo pode ser deixado em branco, caso em que o authc pode consultar o domínio completo. As permissões ainda devem ser concedidas para acesso ao servidor do NMC/NetWorker antes que esses usuários/grupos possam fazer log-in no NMC e gerenciar o servidor do NetWorker. Se um DN base foi especificado no config-server-address, especifique o caminho relativo (excluindo o DN base) para o domínio.
config-user-id-attr	O ID do usuário associado ao objeto do usuário na hierarquia LDAP ou AD. Para LDAP, esse atributo é normalmente id exclusivo. Para o AD, esse atributo é normalmente sAMAccountName.
config-user-object-class	A classe de objeto que identifica os usuários na hierarquia LDAP ou AD. Por exemplo, inetOrgPerson (LDAP) ou user (AD)
config-group-search-path	Como config-user-search-path, esse campo pode ser deixado em branco, caso em que o authc é capaz de consultar o domínio completo. Se um DN base foi especificado no config-server-address, especifique o caminho relativo (excluindo o DN base) para o domínio.
config-group-name-attr	O atributo que identifica o nome do grupo. Por exemplo, cn
config-group-object-class	A classe de objeto que identifica grupos na hierarquia LDAP ou AD. Para LDAP, use groupOfUniqueNames ou groupOfNames.  Nota: Há outras classes de objeto de grupo além do groupOfUniqueNames e groupOfNames.  Use qualquer classe de objeto configurada no servidor LDAP. Para OD, use group.
config-group-member-attr	A lista de membros do grupo do usuário em um grupo. Para LDAP: Quando Group Object Class é groupOfNames, o atributo é geralmente membro. Quando Group Object Class é groupOfUniqueNames, o atributo é normalmente exclusivo.  Para o AD, o valor geralmente é membro.
config-user-search-filter	(Opcional.) O filtro que o serviço de autenticação do NetWorker pode usar para realizar pesquisas de usuário na hierarquia LDAP ou AD. O RFC 2254 define o formato do filtro.
config-group-search-filter	(Opcional.) O filtro que o serviço de autenticação do NetWorker pode usar para realizar pesquisas de grupo na hierarquia LDAP ou AD. O RFC 2254 define o formato do filtro.
config-search-subtree	(Opcional.) Um valor simou nenhum que especifica se a autoridade externa deve realizar pesquisas de subárvore. Valor padrão: não
config-user-group-attr	(Opcional.) Essa opção dá suporte a configurações que identificam a lista de membros do grupo de um usuário nas propriedades do objeto do usuário. Por exemplo, para AD, especifique o atributo memberOf.
classe config-object	(Opcional.) A classe de objeto da autoridade de autenticação externa. O RFC 4512 define a classe de objeto. Valor padrão: Objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local