NetWorker: Jak nastavit protokol LDAP/AD pomocí skriptů authc_config

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Nájemce lze použít v prostředích, kde lze použít více než jednu metodu ověřování, nebo když je potřeba nakonfigurovat více autorit. Pokud používáte pouze jeden server AD/LDAP, není nutné vytvářet nájemce. Můžete použít výchozího nájemce config-tenant-id=1. Je důležité si uvědomit, že použití nájemců mění metodu přihlášení. Při použití výchozího nájemce se můžete přihlásit do konzole NMC pomocí příkazu "domain\user", pokud se používá jiný nájemce než výchozí klient, je nutné při přihlašování do konzole NMC zadat "tenant-name\domain\user".
config-active-directory	Používáte-li server Microsoft Active Directory (AD): y Pokud používáte server LDAP (např.: OpenLDAP: N Poznámka: Existují dvě různé šablony skriptů "authc-create-ad-config"  a "authc-create-ldap-config". Ujistěte se, že používáte správnou šablonu pro použí danou platformu ověřování.
config-name	Tento název představuje pouze identifikátor konfigurace ověřování, kterou do nástroje NetWorker přidáváte.
config-domain	Toto je název domény, který se používá pro přihlášení do nástroje NetWorker. Například "emclab.local" lze nastavit na "emclab". To lze nastavit tak, aby odpovídalo způsobu přihlášení k pracovní stanicím a systémům integrovaným do protokolu AD/LDAP.
config-server-address	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: Specifikuje protokol ldap, pokud se používá komunikace bez protokolu SSL. Specifikuje protokol ldaps, pokud konfigurujete komunikaci SSL. Poznámky:  Před konfigurací služby NetWorker Authentication Service pro použití protokolu LDAPS je nutné uložit certifikát CA ze serveru LDAPS do úložiště klíčů Java Trust. Další informace o tomto postupu naleznete v článku NetWorker: Postup konfigurace ověřování LDAPS Ldap/ldaps musí mít malá písmena. Název hostitele/IP adresa: Zadejte plně přeložitelný název hostitele nebo IP adresu serveru AD nebo LDAP. Port: Pokud používáte port LDAP 389. Pokud používáte protokol LDAPS, specifikujte port 636. Základní rozlišující hodnota: Zadejte základní dn, který se skládá z hodnot součásti domény (DC) vaší domény, např.: DC=my,DC=domain,DC=com.
config-user-dn	Zadejte celý rozlišující název(DN) uživatelského účtu, který má plný přístup pro čtení k adresáři LDAP nebo AD, např.: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Zadejte heslo k účtu zadanému v souboru config-user-dn.
config-user-search-path	Toto pole lze ponechat prázdné. V takovém případě může funkce authc dotázat se na celou doménu. Před přihlášením těchto uživatelů/skupin k nmc a správě serveru NetWorker je stále nutné udělit oprávnění pro přístup k serveru NMC/NetWorker. Pokud byla v adrese config-server-address zadána základní dn, zadejte relativní cestu (s výjimkou základního DN) k doméně.
config-user-id-attr	ID uživatele, které je spojeno s objektem uživatele v hierarchii LDAP nebo AD. U protokolu LDAP se tento atribut běžně používá jako uid. Pro službu AD je tento atribut běžně sAMAccountName.
config-user-object-class	Třída objektu, která identifikuje uživatele v hierarchii LDAP nebo AD. Například inetOrgPerson (LDAP) nebo uživatel (AD)
config-group-search-path	Stejně jako v případě cesty config-user-search-path lze toto pole ponechat prázdné, v takovém případě je authc schopné dotazovat se na celou doménu. Pokud byla v adrese config-server-address zadána základní dn, zadejte relativní cestu (s výjimkou základního DN) k doméně.
config-group-name-attr	Atribut, který identifikuje název skupiny. Například cn
config-group-object-class	Třída objektu, která identifikuje skupiny v hierarchii LDAP nebo AD. U protokolu LDAP použijte příkaz groupOfUnstartNames nebo groupOfNames.  Poznámka: Kromě skupin GroupUnnames a groupOfNames existují i další třídy objektů skupiny.  Použijte jakoukoliv třídu objektu nakonfigurovanou na serveru LDAP. Ve službě AD použijte skupinu.
config-group-member-attr	Členství ve skupině uživatele ve skupině. U protokolu LDAP: Když je třída objektu skupiny groupOfNames, je atribut běžně členem. Když je třída objektu skupiny groupOfUndisplayNames, atribut je běžně jedinečný.  V případě ad je hodnota běžně členem.
config-user-search-filter	(Volitelně.) Filtr, který může služba NetWorker Authentication použít k vyhledávání uživatelů v hierarchii LDAP nebo AD. Rfc 2254 definuje formát filtru.
config-group-search-filter	(Volitelně.) Filtr, který může služba NetWorker Authentication použít k provádění skupinového vyhledávání v hierarchii LDAP nebo AD. Rfc 2254 definuje formát filtru.
config-search-subtree	(Volitelně.) Hodnota yes nebo no , která určuje, zda má externí autorita prohledávat podstrom. Výchozí hodnota: Ne
config-user-group-attr	(Volitelně.) Tato možnost podporuje konfigurace, které identifikují členství ve skupině pro uživatele ve vlastnostech objektu uživatele. Například pro službu AD specifikujte člena atributuOf.
config-object-class	(Volitelně.) Třída objektu externí ověřovací autority. Rfc 4512 definuje třídu objektu. Výchozí hodnota: třída objektu.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local