NetWorker: Cómo configurar LDAP/AD mediante scripts de authc_config

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Los grupos de usuarios se pueden usar en ambientes donde se puede usar más de un método de autenticación o cuando se deben configurar varias autoridades. No es necesario crear un grupo de usuarios si solo se utiliza un servidor AD/LDAP; Puede usar el grupo de usuarios predeterminado, config-tenant-id=1. Es importante tener en cuenta que el uso de grupos de usuarios altera el método de inicio de sesión. Cuando se utiliza el grupo de usuarios predeterminado, puede iniciar sesión en NMC mediante "domain\user" si se utiliza un grupo de usuarios distinto del grupo de usuarios predeterminado, debe especificar "tenant-name\domain\user" cuando inicie sesión en NMC.
config-active-directory	Si utiliza un servidor de Microsoft Active Directory (AD): y Si utiliza un servidor LDAP (p. ej.: OpenLDAP): N Nota: Hay dos plantillas de script diferentes "authc-create-ad-config"  y "authc-create-ldap-config". Asegúrese de utilizar la plantilla correcta para la plataforma de autenticación en uso.
config-name	Este nombre es solo un identificador de la configuración de autenticación que se agrega a NetWorker.
config-domain	Este es el nombre de dominio que se utiliza para iniciar sesión en NetWorker. Por ejemplo, "emclab.local" se puede configurar en "emclab". Esto se puede configurar para alinearse con la forma en que inicia sesión en las estaciones de trabajo y los sistemas integrados con AD/LDAP.
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: Especifique ldap si se utiliza la comunicación no SSL. Especifique ldaps si va a configurar la comunicación SSL. Notas:  Antes de configurar el servicio de autenticación de NetWorker para usar LDAPS, debe almacenar el certificado de CA del servidor LDAPS en el almacén de claves de confianza de Java. Para obtener más información sobre este procedimiento, consulte NetWorker: Cómo configurar la autenticación ldaps ldap/ldaps debe estar en minúsculas. Nombre de host/dirección IP: Especifique el nombre de host o la dirección IP totalmente resolvibles del servidor AD o LDAP. Puerto: Si utiliza LDAP, especifique el puerto 389. Si utiliza LDAPS, especifique el puerto 636. DN base: Especifique el DN base que se compone de los valores de componente de dominio (DC) de su dominio, por ejemplo: DC=my,DC=domain,DC=com.
config-user-dn	Especifique el nombredistintivo (DN) completo de una cuenta de usuario que tenga acceso de lectura completo al directorio LDAP o AD, por ejemplo: CN=Administrador,CN=Usuarios,DC=my,DC=domain,DC=com.
config-user-dn-password	Especifique la contraseña para la cuenta especificada en config-user-dn.
config-user-search-path	Este campo se puede dejar en blanco, en cuyo caso authc puede consultar el dominio completo. Aún se deben otorgar permisos para el acceso al servidor de NMC/NetWorker antes de que estos usuarios/grupos puedan iniciar sesión en NMC y administrar el servidor de NetWorker. Si se especificó un DN base en config-server-address, especifique la ruta relativa (sin incluir el DN base) al dominio.
config-user-id-attr	El ID de usuario asociado con el objeto de usuario en la jerarquía de LDAP o AD. Para LDAP, este atributo es comúnmente uid. Para AD, este atributo es comúnmente sAMAccountName.
config-user-object-class	La clase de objeto que identifica a los usuarios en la jerarquía de LDAP o AD. Por ejemplo, inetOrgPerson (LDAP) o user (AD)
config-group-search-path	Al igual que config-user-search-path, este campo se puede dejar en blanco, en cuyo caso authc puede consultar el dominio completo. Si se especificó un DN base en config-server-address, especifique la ruta relativa (sin incluir el DN base) al dominio.
config-group-name-attr	Atributo que identifica el nombre del grupo. Por ejemplo, cn
config-group-object-class	La clase de objeto que identifica grupos en la jerarquía de LDAP o AD. Para LDAP, utilice groupOfUniqueNames o groupOfNames.  Nota: Hay otras clases de objetos de grupo aparte de groupOfUniqueNames y groupOfNames.  Utilice cualquier clase de objeto configurada en el servidor LDAP. Para AD, utilice el grupo.
config-group-member-attr	La membresía en grupo del usuario dentro de un grupo. Para LDAP: Cuando group Object Class es groupOfNames, el atributo es comúnmente miembro. Cuando group Object Class es groupOfUniqueNames, el atributo suele ser un miembro único.  Para AD, el valor es comúnmente miembro.
config-user-search-filter	(Opcional). El filtro que el servicio de autenticación de NetWorker puede usar para realizar búsquedas de usuarios en la jerarquía de LDAP o AD. RFC 2254 define el formato del filtro.
config-group-search-filter	(Opcional). El filtro que el servicio de autenticación de NetWorker puede usar para realizar búsquedas de grupos en la jerarquía de LDAP o AD. RFC 2254 define el formato del filtro.
config-search-subtree	(Opcional). Un valor sí o no que especifica si la autoridad externa debe realizar búsquedas de subárbol. Valor predeterminado: no
config-user-group-attr	(Opcional). Esta opción es compatible con configuraciones que identifican la membresía de grupo para un usuario dentro de las propiedades del objeto de usuario. Por ejemplo, para AD, especifique el atributo memberOf.
config-object-class	(Opcional). La clase de objeto de la autoridad de autenticación externa. RFC 4512 define la clase de objeto. Valor predeterminado: Objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local