NetWorker：如何使用authc_config脚本设置 LDAP/AD

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	可以在可以使用多个身份验证方法的环境中和/或需要配置多个机构时使用租户。如果仅使用一个 AD/LDAP 服务器，则无需创建租户;您可以使用默认租户 config-tenant-id=1。务必要注意的是，使用租户会改变您的登录方法。使用默认租户时，如果使用除默认租户以外的租户，则可以使用“domain\user”登录 NMC，您必须在登录 NMC 时指定“tenant-name\domain\user”。
config-active-directory	如果您使用的是 Microsoft Active Directory （AD） 服务器：y 如果您使用的是 LDAP 服务器（例如：OpenLDAP：n 注意：有两个不同的脚本模板“authc-create-ad-config” 和“authc-create-ldap-config”。确保您使用的是用于身份验证平台的正确模板。
config-name	此名称只是要添加到 NetWorker 的身份验证配置的标识符。
config-domain	这是用于登录 NetWorker 的域名。例如，“emclab.local”可以设置为“emclab”。这可以设置为与您登录到与 AD/LDAP 集成的工作站和系统的方式保持一致。
config-server-address	<协议>：//<hostname_or_ip_address>：<端口>/<base_dn> 协议： 如果使用非 SSL 通信，请指定 ldap。 如果要配置 SSL 通信，请指定 ldaps。 提醒：  在将 NetWorker 身份验证服务配置为使用 LDAPS 之前，必须将来自 LDAPS 服务器的 CA 证书存储在 Java 信任密钥库中。有关此过程的更多信息，请参阅 NetWorker：如何配置 LDAPS 身份验证 ldap/ldaps 必须为小写。 主机名/IP 地址： 指定 AD 或 LDAP 服务器的完全可解析的主机名或 IP 地址。 Port: 如果您使用的是 LDAP，请指定端口 389。 如果您使用的是 LDAPS，请指定端口 636。 Base-DN： 指定您的基本 DN，该 DN 包含域的域组件 （DC） 值，例如：DC=my，DC=domain，DC=com 。
config-user-dn	指定对 LDAP 或 AD 目录具有完全读取访问权限的用户帐户的完整 可分辨名称（DN），例如：CN=Administrator，CN=Users，DC=my，DC=domain，DC=com 。
config-user-dn-password	指定 config-user-dn 中指定的帐户的密码。
config-user-search-path	此字段可以留空，在这种情况下，authc 可以查询完整域。在这些用户/组可以登录 NMC 并管理 NetWorker 服务器之前，仍必须授予 NMC/NetWorker 服务器访问权限。如果在 config-server-address 中指定了基本 DN，请指定域的 相对路径（不包括基本 DN）。
config-user-id-attr	与 LDAP 或 AD 层次结构中的用户对象关联的用户 ID。 对于 LDAP，此属性通常为 uid。 对于 AD，此属性通常为 sAMAccountName。
config-user-object-class	标识 LDAP 或 AD 层次结构中的用户的对象类。 例如，inetOrgPerson （LDAP） 或用户 （AD）
config-group-search-path	与 config-user-search-path 一样，此字段可以留空，在这种情况下，authc 能够查询完整域。如果在 config-server-address 中指定了基本 DN，请指定域的 相对路径（不包括基本 DN）。
config-group-name-attr	标识组名称的属性。例如， cn
config-group-object-class	标识 LDAP 或 AD 层次结构中的组的对象类。 对于 LDAP，请使用 groupOfUniqueNames 或 groupOfNames 。  提醒：除了 groupOfUniqueNames 和 groupOfNames 之外，还有其他组对象类。  使用在 LDAP 服务器中配置的任何对象类。 对于 AD，请使用组。
config-group-member-attr	组中用户的组成员身份。 对于 LDAP： 当组对象类为 groupOfNames 时，属性通常是成员。 当组对象类为 groupOfUniqueNames 时，属性通常为唯一名称。  对于 AD，该值通常是成员。
config-user-search-filter	（可选。）NetWorker 身份验证服务可用于在 LDAP 或 AD 层次结构中执行用户搜索的筛选器。RFC 2254 定义筛选器格式。
config-group-search-filter	（可选。）NetWorker 身份验证服务可用于在 LDAP 或 AD 层次结构中执行组搜索的筛选器。RFC 2254 定义筛选器格式。
config-search-subtree	（可选。）指定外部机构是否应执行子树搜索的 “是 ”或 “否 ”值。 默认值： no
config-user-group-attr	（可选。）此选项支持在用户对象属性内标识用户的组成员身份的配置。例如，对于 AD，指定属性 memberOf。
config-object-class	（可选。）外部身份验证机构的对象类。RFC 4512 定义对象类。默认值：objectclass。

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local