NetWorker. Настройка LDAP/AD с помощью authc_config сценариев

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Клиенты могут использоваться в средах, где можно использовать несколько методов аутентификации и/или когда необходимо настроить несколько центров. Создание клиента не требуется, если используется только один сервер AD/LDAP. Можно использовать клиента по умолчанию config-tenant-id=1. Важно отметить, что использование клиентов изменяет метод входа в систему. При использовании клиента по умолчанию можно войти в NMC с помощью «domain\user», если используется клиент, отличный от клиента по умолчанию, необходимо указать «tenant-name\domain\user» при входе в NMC.
config-active-directory	При использовании сервера Microsoft Active Directory (AD): y Если вы используете сервер LDAP (например: OpenLDAP: N Примечание: Существует два различных шаблона сценариев: authc-create-ad-config  и authc-create-ldap-config. Убедитесь, что используется правильный шаблон для используемой платформы аутентификации.
config-name (имя конфигурации)	Это имя является только идентификатором конфигурации аутентификации, добавляемой в NetWorker.
config-domain	Это имя домена, используемое для входа в NetWorker. Например, emclab.local можно установить на «emclab». Его можно настроить в соответствии с входом в систему на рабочих станциях и системах, интегрированных с AD/LDAP.
config-server-address (адрес сервера конфигурации)	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: Укажите ldap, если используется обмен данными не по протоколу SSL. При настройке обмена данными по протоколу SSL укажите значение ldaps. Примечания.  Перед настройкой службы аутентификации NetWorker для использования LDAPS необходимо сохранить сертификат центра сертификации на сервере LDAPS в хранилище ключей доверия Java. Дополнительные сведения об этой процедуре см. в разделе NetWorker: Настройка аутентификации LDAPS ldap/ldaps должен быть в нижнем регистре. Имя хоста/IP-адрес: Укажите полностью разрешимое имя хоста или IP-адрес сервера AD или LDAP. Порт: При использовании LDAP укажите порт 389. При использовании LDAPS укажите порт 636. Базовое доменное имя: Укажите базовое доменное имя, состоящее из значений компонента домена (DC), например: DC=my,DC=domain,DC=com.
config-user-dn	Укажите полное различающеесяимя (DN) учетной записи пользователя с полным доступом для чтения к каталогу LDAP или AD, например: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Укажите пароль для учетной записи, указанной в config-user-dn.
config-user-search-path	Это поле можно оставить пустым, в этом случае authc может запросить полный домен. Разрешения по-прежнему должны быть предоставлены для доступа к серверу NMC/NetWorker, прежде чем эти пользователи/группы смогут войти в NMC и управлять сервером NetWorker. Если в адресе сервера конфигурации указано базовое доменное имя, укажите относительный путь (за исключением базового доменного имени) к домену.
config-user-id-attr	Идентификатор пользователя, связанный с объектом пользователя в иерархии LDAP или AD. Для LDAP этот атрибут обычно является uid. Для AD этот атрибут обычно имеет значение sAMAccountName.
config-user-object-class	Класс объекта, который идентифицирует пользователей в иерархии LDAP или AD. Например, inetOrgPerson (LDAP) или пользователь (AD)
config-group-search-path	Как и config-user-search-path, это поле может быть пустым, в этом случае authc может запросить полный домен. Если в адресе сервера конфигурации указано базовое доменное имя, укажите относительный путь (за исключением базового доменного имени) к домену.
config-group-name-attr	Атрибут, который идентифицирует имя группы. Например, cn
config-group-object-class	Класс объекта, который идентифицирует группы в иерархии LDAP или AD. Для LDAP используйте группуOfUniqueNames или groupOfNames.  Примечание. Существуют другие классы объектов группы, кроме группыOfUniqueNames и groupOfNames.  Используйте любой класс объекта, настроенный на сервере LDAP. Для AD используйте группу.
config-group-member-attr	Членство пользователя в группе. Для LDAP: Когда group Object Class имеет значение groupOfNames, атрибут обычно является участником. Когда group Object Class имеет значение groupOfUniqueNames, атрибут обычно является уникальным.  Для AD это значение обычно является участником.
config-user-search-filter	(Необязательно). Фильтр, который служба аутентификации NetWorker может использовать для выполнения поиска пользователей в иерархии LDAP или AD. RFC 2254 определяет формат фильтра.
config-group-search-filter	(Необязательно). Фильтр, который netWorker Authentication Service может использовать для выполнения группового поиска в иерархии LDAP или AD. RFC 2254 определяет формат фильтра.
config-search-subtree	(Необязательно). Значение yes или no , которое определяет, должен ли внешний орган выполнять поиск поддеревов. Значение по умолчанию: no
config-user-group-attr	(Необязательно). Этот параметр поддерживает конфигурации, которые идентифицируют членство в группе для пользователя в свойствах объекта пользователя. Например, для AD укажите атрибут MemberOf.
класс «config-object»	(Необязательно). Класс объекта внешнего центра аутентификации. RFC 4512 определяет класс объекта. Значение по умолчанию: Objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local