NetWorker : Configuration de LDAP/AD à l’aide de scripts authc_config

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Les tenants peuvent être utilisés dans des environnements où plusieurs méthodes d’authentification peuvent être utilisées et/ou lorsque plusieurs autorités doivent être configurées. Vous n’avez pas besoin de créer un tenant si un seul serveur AD/LDAP est utilisé. Vous pouvez utiliser le tenant par défaut, config-tenant-id=1. Il est important de noter que l’utilisation de tenants modifie votre méthode de connexion. Lorsque le tenant par défaut est utilisé, vous pouvez vous connecter à NMC à l’aide de « domain\user » si un tenant autre que le tenant par défaut est utilisé, vous devez spécifier « tenant-name\domain\user » lors de la connexion à NMC.
config-active-directory	Si vous utilisez un serveur Microsoft Active Directory (AD) : y Si vous utilisez un serveur LDAP (par exemple : OpenLDAP : ¡n Note: Il existe deux modèles de script différents : « authc-create-ad-config »  et « authc-create-ldap-config ». Assurez-vous que vous utilisez le modèle approprié pour la plate-forme d’authentification en cours d’utilisation.
config-name	Ce nom n’est qu’un identifiant de la configuration d’authentification en cours d’ajout à NetWorker.
config-domain	Il s’agit du nom de domaine utilisé pour la connexion à NetWorker. Par exemple, « emclab.local » peut être défini sur « emclab ». Cette option peut être configurée pour s’aligner sur la façon dont vous vous connectez à vos stations de travail et systèmes intégrés à AD/LDAP.
config-server-address	<protocol> ://<hostname_or_ip_address> :<port>/<base_dn> Protocole : Spécifiez ldap si la communication non-SSL est utilisée. Spécifiez ldaps si vous configurez la communication SSL. Remarques :  Avant de configurer le service d’authentification NetWorker pour utiliser LDAPS, vous devez stocker le certificat d’autorité de certification à partir du serveur LDAPS dans le magasin de clés de confiance Java. Pour plus d’informations sur cette procédure, voir NetWorker : Configuration de l’authentification LDAPS Ldap/ldaps doit être plus faible. Nom d’hôte/adresse IP : Spécifiez le nom d’hôte ou l’adresse IP entièrement résolvable de votre serveur AD ou LDAP. Port : Si vous utilisez LDAP, spécifiez le port 389. Si vous utilisez LDAPS, spécifiez le port 636. Nom unique de base : Spécifiez votre nom unique de base qui est composé de vos valeurs de composant de domaine (DC) de votre domaine, par exemple : DC=my,DC=domain,DC=com.
config-user-dn	Spécifiez le nomunique (DN) complet d’un compte utilisateur disposant d’un accès en lecture complet à l’annuaire LDAP ou AD, par exemple : CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Spécifiez le mot de passe du compte spécifié dans config-user-dn.
config-user-search-path	Ce champ peut être laissé vide, auquel cas authc peut interroger le domaine complet. Les autorisations doivent toujours être accordées pour l’accès au serveur NMC/NetWorker pour que ces utilisateurs/groupes puissent se connecter au NMC et gérer le serveur NetWorker. Si un nom unique de base a été spécifié dans config-server-address, spécifiez le chemin relatif (à l’exception du DN de base) du domaine.
config-user-id-attr	ID utilisateur associé à l’objet utilisateur dans la hiérarchie LDAP ou AD. Pour LDAP, cet attribut est généralement uid. Pour AD, cet attribut est généralement sAMAccountName.
config-user-object-class	Classe d’objets qui identifie les utilisateurs dans la hiérarchie LDAP ou AD. Par exemple, inetOrgPerson (LDAP) ou user (AD)
config-group-search-path	À l’instar de config-user-search-path, ce champ peut être laissé vide, auquel cas authc est capable d’interroger le domaine complet. Si un nom unique de base a été spécifié dans config-server-address, spécifiez le chemin relatif (à l’exception du DN de base) du domaine.
config-group-name-attr	Attribut qui identifie le nom du groupe. Par exemple, cn
config-group-object-class	Classe d’objets qui identifie les groupes dans la hiérarchie LDAP ou AD. Pour LDAP, utilisez groupOfUniqueNames ou groupOfNames.  Remarque : Il existe d’autres classes d’objets de groupe à part groupOfUniqueNames et groupOfNames.  Utilisez la classe d’objets configurée sur le serveur LDAP. Pour AD, utilisez le groupe.
config-group-member-attr	Appartenance à un groupe de l’utilisateur au sein d’un groupe. Pour LDAP : Lorsque group Object Class est groupOfNames, l’attribut est généralement membre. Lorsque group Object Class est groupOfUniqueNames, l’attribut est généralement uniquemember.  Pour AD, la valeur est généralement membre.
config-user-search-filter	(Facultatif)) Filtre que le service d’authentification NetWorker peut utiliser pour effectuer des recherches d’utilisateurs dans la hiérarchie LDAP ou AD. RFC 2254 définit le format de filtre.
config-group-search-filter	(Facultatif)) Filtre que le service d’authentification NetWorker peut utiliser pour effectuer des recherches de groupes dans la hiérarchie LDAP ou AD. RFC 2254 définit le format de filtre.
config-search-subtree	(Facultatif)) Valeur yes ou no qui indique si l’autorité externe doit effectuer des recherches de sous-arborescences. Valeur par défaut : no
config-user-group-attr	(Facultatif)) Cette option prend en charge les configurations qui identifient l’appartenance à un groupe pour un utilisateur dans les propriétés de l’objet utilisateur. Par exemple, pour AD, spécifiez l’attribut memberOf.
config-object-class	(Facultatif)) Classe d’objet de l’autorité d’authentification externe. RFC 4512 définit la classe d’objets. Valeur par défaut : objectclass.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local