NetWorker: Einrichten von LDAP/AD mithilfe von authc_config-Skripten

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Mandanten können in Umgebungen verwendet werden, in denen mehr als eine Authentifizierungsmethode verwendet werden kann und/oder wenn mehrere Zertifizierungsstellen konfiguriert werden müssen. Sie müssen keinen Mandanten erstellen, wenn nur ein AD/LDAP-Server verwendet wird. Sie können den Standardmandanten config-tenant-id=1 verwenden. Es ist wichtig zu beachten, dass die Verwendung von Mandanten Ihre Anmeldemethode ändert. Wenn der Standardmandant verwendet wird, können Sie sich mit "domain\user" beim NMC anmelden, wenn ein anderer Mandant als der Standardmandant verwendet wird, müssen Sie bei der Anmeldung beim NMC "tenant-name\domain\user" angeben.
config-active-directory	Wenn Sie einen Microsoft Active Directory (AD)-Server verwenden: y Wenn Sie einen LDAP-Server verwenden (z. B.: OpenLDAP: N Hinweis: Es gibt zwei verschiedene Skriptvorlagen "authc-create-ad-config"  und "authc-create-ldap-config". Stellen Sie sicher, dass Sie die richtige Vorlage für die verwendete Authentifizierungsplattform verwenden.
Konfigurationsname	Dieser Name ist nur eine Kennung für die Authentifizierungskonfiguration, die NetWorker hinzugefügt wird.
config-domain	Dies ist der Domainname, der für die Anmeldung bei NetWorker verwendet wird. Beispielsweise kann "emclab.local" auf "emclab" festgelegt werden. Dies kann so eingestellt werden, dass sie der Art und Weise entspricht, wie Sie sich bei Ihren Workstations und Systemen anmelden, die in AD/LDAP integriert sind.
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: Geben Sie ldap an, wenn nicht-SSL-Kommunikation verwendet wird. Geben Sie ldaps an, wenn Sie die SSL-Kommunikation konfigurieren. Hinweise:  Bevor Sie den NetWorker Authentication Service für die Verwendung von LDAPS konfigurieren, müssen Sie das CA-Zertifikat vom LDAPS-Server im Java-Trust-Keystore speichern. Weitere Informationen zu diesem Verfahren finden Sie unter NetWorker: Konfigurieren der LDAPS-Authentifizierung ldap/ldaps muss Kleinbuchstaben sein. Hostname/IP-Adresse: Geben Sie den vollständig auflösbaren Hostnamen oder die IP-Adresse Ihres AD- oder LDAP-Servers an. Schnittstelle: Wenn Sie LDAP verwenden, geben Sie Port 389 an. Wenn Sie LDAPS verwenden, geben Sie Port 636 an. Basis-DN: Geben Sie Ihren Basis-DN an, der aus Den Domain Component (DC)-Werten Ihrer Domain besteht, z. B.: DC=my,DC=domain,DC=com.
config-user-dn	Geben Sie den vollständigen Distinguished Name(DN) eines Benutzerkontos an, das vollständigen Lesezugriff auf das LDAP- oder AD-Verzeichnis hat, z. B.: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Geben Sie das Passwort für das Konto an, das in config-user-dn angegeben ist.
config-user-search-path	Dieses Feld kann leer gelassen werden, in diesem Fall kann authc die vollständige Domain abfragen. Berechtigungen müssen weiterhin für den NMC-/NetWorker-Serverzugriff gewährt werden, bevor diese Benutzer/Gruppen sich beim NMC anmelden und den NetWorker-Server managen können. Wenn ein Basis-DN in der config-server-address angegeben wurde, geben Sie den relativen Pfad (mit Ausnahme des Basis-DN) zur Domain an.
config-user-id-attr	Die Benutzer-ID, die dem Benutzerobjekt in der LDAP- oder AD-Hierarchie zugeordnet ist. Für LDAP ist dieses Attribut häufig uid. Für AD ist dieses Attribut in der Regel sAMAccountName.
config-user-object-class	Die Objektklasse, die die Benutzer in der LDAP- oder AD-Hierarchie identifiziert. Beispiel: inetOrgPerson (LDAP) oder Benutzer (AD)
config-group-search-path	Wie config-user-search-path kann dieses Feld leer gelassen werden, in diesem Fall kann authc die gesamte Domain abfragen. Wenn ein Basis-DN in der config-server-address angegeben wurde, geben Sie den relativen Pfad (mit Ausnahme des Basis-DN) zur Domain an.
config-group-name-attr	Das Attribut, das den Gruppennamen identifiziert. Beispiel: cn
config-group-object-class	Die Objektklasse, die Gruppen in der LDAP- oder AD-Hierarchie identifiziert. Verwenden Sie für LDAP groupOfUniqueNames oder groupOfNames.  Hinweis: Es gibt andere Gruppenobjektklassen außer groupOfUniqueNames und groupOfNames.  Verwenden Sie die Objektklasse, die im LDAP-Server konfiguriert ist. Verwenden Sie für AD die Gruppe.
config-group-member-attr	Die Gruppenmitgliedschaft des Benutzers innerhalb einer Gruppe. Für LDAP: Wenn die Gruppenobjektklasse groupOfNames ist, ist das Attribut häufig Mitglied. Wenn die Gruppenobjektklasse groupOfUniqueNames ist, ist das Attribut häufig uniquemember.  Bei AD ist der Wert in der Regel Member.
config-user-search-filter	(Optional) Der Filter, den der NetWorker Authentication Service verwenden kann, um Benutzersuchen in der LDAP- oder AD-Hierarchie durchzuführen. RFC 2254 definiert das Filterformat.
config-group-search-filter	(Optional) Der Filter, den der NetWorker Authentication Service verwenden kann, um Gruppensuchen in der LDAP- oder AD-Hierarchie durchzuführen. RFC 2254 definiert das Filterformat.
config-search-subtree	(Optional) Ein Wert "yes " oder "no ", der angibt, ob die externe Autorität Subtree-Suchen durchführen soll. Standardwert: no
config-user-group-attr	(Optional) Diese Option unterstützt Konfigurationen, die die Gruppenmitgliedschaft für einen Benutzer innerhalb der Eigenschaften des Benutzerobjekts identifizieren. Geben Sie beispielsweise für AD das Attribut memberOf an.
config-object-class	(Optional) Die Objektklasse der externen Authentifizierungsstelle. RFC 4512 definiert die Objektklasse. Standardwert: Objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local