NetWorker: LDAP/AD instellen met behulp van authc_config scripts

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Tenants kunnen worden gebruikt in omgevingen waar meer dan één verificatiemethode kan worden gebruikt en/of wanneer meerdere instanties moeten worden geconfigureerd. U hoeft geen tenant te maken als er slechts één AD/LDAP-server wordt gebruikt. U kunt de standaard tenant, config-tenant-id=1, gebruiken. Het is belangrijk om te weten dat het gebruik van tenants uw aanmeldingsmethode wijzigt. Wanneer de standaard tenant wordt gebruikt, kunt u zich aanmelden bij de NMC met behulp van 'domain\user' als een andere tenant dan de standaard tenant wordt gebruikt, moet u 'tenant-name\domain\user' opgeven wanneer u zich aanmeldt bij de NMC.
config-active-directory	Als u een Microsoft Active Directory (AD)-server gebruikt: y Als u een LDAP-server gebruikt (bijvoorbeeld: OpenLDAP): N Opmerking: Er zijn twee verschillende scriptsjablonen 'authc-create-ad-config'  en 'authc-create-ldap-config'. Zorg ervoor dat u de juiste sjabloon gebruikt voor het authenticatieplatform dat in gebruik is.
config-name	Deze naam is alleen een id voor de authenticatieconfiguratie die wordt toegevoegd aan NetWorker.
config-domain	Dit is de domeinnaam die wordt gebruikt voor het aanmelden bij NetWorker. "emclab.local" kan bijvoorbeeld worden ingesteld op "emclab". Dit kan worden ingesteld op de wijze waarop u zich aanmeldt bij uw workstations en systemen die zijn geïntegreerd met AD/LDAP.
config-server-adres	<protocol>://<hostname_or_ip_address>:<poort>/<base_dn> protocol: Geef ldap op als niet-SSL-communicatie wordt gebruikt. Geef ldaps op als u SSL-communicatie configureert. Opmerkingen:  Voordat u de NetWorker Authentication Service configureert voor het gebruik van LDAPS, moet u het CA-certificaat van de LDAPS-server opslaan in de Java Trust Keystore. Zie NetWorker voor meer informatie over deze procedure: LDAPS-authenticatie configureren ldap/ldaps moeten een kleine behuizing hebben. Hostnaam/IP-adres: Geef de volledig op te lossen hostnaam of HET IP-adres van uw AD- of LDAP-server op. Port: Als u LDAP gebruikt, geeft u poort 389 op. Als u LDAPS gebruikt, geeft u poort 636 op. Basis-DN: Geef uw basis-DN op die bestaat uit de waarden van uw domeincomponent (DC) van uw domein, bijvoorbeeld: DC=my,DC=domain,DC=com.
config-user-dn	Geef de volledige Distinguished Name(DN) op van een gebruikersaccount met volledige leestoegang tot de LDAP- of AD-map, bijvoorbeeld: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Geef het wachtwoord op voor het account dat is opgegeven in de config-user-dn.
config-user-search-path	Dit veld kan leeg worden gelaten. In dat geval kan authc een query uitvoeren op het volledige domein. Machtigingen moeten nog steeds worden verleend voor NMC/NetWorker-servertoegang voordat deze gebruikers/groepen zich kunnen aanmelden bij de NMC en de NetWorker-server kunnen beheren. Als een Basis-DN is opgegeven in het config-server-adres, geeft u het relatieve pad op (exclusief de Base DN) naar het domein.
config-user-id-attr	De gebruikers-ID die is gekoppeld aan het gebruikersobject in de LDAP- of AD-hiërarchie. Voor LDAP is dit kenmerk meestal uid. Voor AD is dit kenmerk meestal sAMAccountName.
config-user-object-class	De objectklasse die de gebruikers in de LDAP- of AD-hiërarchie identificeert. Bijvoorbeeld inetOrgPerson (LDAP) of user (AD)
config-group-search-path	Net als config-user-search-path kan dit veld leeg worden gelaten in welk geval authc een query kan uitvoeren op het volledige domein. Als een Basis-DN is opgegeven in het config-server-adres, geeft u het relatieve pad op (exclusief de Base DN) naar het domein.
config-group-name-attr	Het kenmerk dat de groepsnaam identificeert. Bijvoorbeeld: cn
config-group-object-class	De objectklasse die groepen identificeert in de LDAP- of AD-hiërarchie. Voor LDAP gebruikt u groupOf UniqueNames of groupOfNames.  Opmerking: Er zijn andere groepsobjectklassen afgezien van groupOf UniqueNames en groupOfNames.  Gebruik de objectklasse die in de LDAP-server is geconfigureerd. Voor AD gebruikt u groep.
config-group-member-attr	Het groepslidmaatschap van de gebruiker binnen een groep. Voor LDAP: Wanneer de groepobjectklasse groupOfNames is, is het kenmerk meestal lid. Wanneer de groepobjectklasse groupOf UniqueNames is, is het kenmerk meestal uniek.  Voor AD is de waarde meestal lid.
config-user-search-filter	(Optioneel.) Het filter dat de NetWorker Authentication Service kan gebruiken om gebruikerszoekacties uit te voeren in de LDAP- of AD-hiërarchie. RFC 2254 definieert de filterindeling.
config-group-search-filter	(Optioneel.) Het filter dat de NetWorker Authentication Service kan gebruiken om groepszoekacties uit te voeren in de LDAP- of AD-hiërarchie. RFC 2254 definieert de filterindeling.
config-search-subtree	(Optioneel.) Een ja - of geen waarde die aangeeft of de externe autoriteit substructuur zoekopdrachten moet uitvoeren. Standaardwaarde: nee
config-user-group-attr	(Optioneel.) Deze optie ondersteunt configuraties die het groepslidmaatschap voor een gebruiker identificeren binnen de eigenschappen van het gebruikersobject. Geef bijvoorbeeld voor AD het kenmerk memberOf op.
config-object-klasse	(Optioneel.) De objectklasse van de externe authenticatieautoriteit. RFC 4512 definieert de objectklasse. Standaardwaarde: objectklasse.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local