NetWorker: Sådan konfigureres LDAP/AD ved hjælp af authc_config scripts

call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

config-tenant-id	Lejere kan bruges i miljøer, hvor mere end én godkendelsesmetode kan bruges, og/eller når flere myndigheder skal konfigureres. Du behøver ikke at oprette en lejer, hvis der kun bruges én AD/LDAP-server. Du kan bruge standardlejer, config-tenant-id=1. Det er vigtigt at bemærke, at brugen af lejere ændrer din loginmetode. Når standardlejer anvendes, kan du logge på NMC ved hjælp af "domæne\bruger", hvis en anden lejer end standardbrugeren bruges, skal du angive "tenant-name\domain\user", når du logger på NMC.
config-active-directory	Hvis du bruger en Microsoft Active Directory-server (AD): y , hvis du bruger en LDAP-server (f.eks.: OpenLDAP): N Bemærk: Der er to forskellige scriptskabeloner "authc-create-ad-config"  og "authc-create-ldap-config". Sørg for, at du bruger den korrekte skabelon til den godkendelsesplatform, der er i brug.
konfigurationsnavn	Dette navn er kun en identifikator for den godkendelseskonfiguration, der føjes til NetWorker.
konfigurationsdomæne	Dette er det domænenavn, der bruges til at logge på NetWorker. F.eks. kan "emclab.local" indstilles til "emclab". Den kan indstilles til at passe med, hvordan du logger på dine arbejdsstationer og systemer, der er integreret med AD/LDAP.
konfigurationsserveradresse	<protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol: Angiv ldap, hvis der bruges ikke-SSL-kommunikation. Angiv ldaps, hvis du konfigurerer SSL-kommunikation. Bemærk:  Før du konfigurerer NetWorker Authentication Service til at bruge LDAPS, skal du gemme CA-certifikatet fra LDAPS-serveren i Javas tillidsnøglelager. Du kan få flere oplysninger om denne procedure i NetWorker: Sådan konfigureres LDAPS-godkendelse ldap/ldaps skal være med små bogstaver. Værtsnavn/IP-adresse: Angiv det fuldt gensolvable værtsnavn eller IP-adressen på din AD- eller LDAP-server. Port: Hvis du bruger LDAP, skal du angive port 389. Hvis du bruger LDAPS, skal du angive port 636. Base-DN: Angiv din grundlæggende DN, som består af dine DC-værdier (Domain Component) for dit domæne, f.eks.: DC=my,DC=domain,DC=com.
config-user-dn	Angiv det fulde entydige navn(DN) for en brugerkonto, der har fuld læseadgang til LDAP- eller AD-mappen, f.eks.: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com.
config-user-dn-password	Angiv adgangskoden til den konto, der er angivet i config-user-dn.
config-user-search-path	Dette felt kan efterlades tomt, i hvilket tilfælde authc kan forespørge på det fulde domæne. Der skal stadig gives tilladelser til NMC/NetWorker-serveradgang, før disse brugere/grupper kan logge på NMC og administrere NetWorker-serveren. Hvis der er angivet et Base DN i config-server-adressen, skal du angive den relative sti (undtagen base-DN) til domænet.
config-user-id-attr	Det bruger-id, der er knyttet til brugerobjektet i LDAP- eller AD-hierarkiet. For LDAP er denne attribut ofte uid. For AD er denne attribut ofte sAMAccountName.
konfig-bruger-objekt-klasse	Objektklassen, der identificerer brugerne i LDAP- eller AD-hierarkiet. F.eks. InetOrgPerson (LDAP) eller bruger (AD)
config-group-search-path	Ligesom config-user-search-path kan dette felt efterlades tomt, i hvilket tilfælde authc er i stand til at forespørge på det fulde domæne. Hvis der er angivet et Base DN i config-server-adressen, skal du angive den relative sti (undtagen base-DN) til domænet.
config-group-name-attr	Attributten, der identificerer gruppenavnet. F.eks. cn
konfig-group-object-class	Objektklassen, der identificerer grupper i LDAP- eller AD-hierarkiet. Til LDAP skal du bruge groupOfUniqueNames eller groupOfNames.  Bemærk: Der findes andre gruppeobjektklasser bortset fra groupOfUniqueNames og groupOfNames.  Brug den objektklasse, der er konfigureret i LDAP-serveren. Til AD skal du bruge gruppe.
config-group-member-attr	Gruppemedlemskab for brugeren i en gruppe. For LDAP: Når Group Object Class er groupOfNames, er attributten almindeligvis medlem. Når Group Object Class er groupOfUniqueNames, er attributten almindeligvis entydig.  For AD er værdien almindeligvis medlem.
config-user-search-filter	(Valgfrit tilbehør). Det filter, som NetWorker Authentication Service kan bruge til at udføre brugersøgninger i LDAP- eller AD-hierarkiet. RFC 2254 definerer filterformatet.
config-group-search-filter	(Valgfrit tilbehør). Det filter, som NetWorker Authentication Service kan bruge til at udføre gruppesøgninger i LDAP- eller AD-hierarkiet. RFC 2254 definerer filterformatet.
konfigurations-search-subtree	(Valgfrit tilbehør). Et ja eller ingen værdi, der angiver, om den eksterne myndighed skal udføre undertræsøgninger. Standardværdi: Nej
config-user-group-attr	(Valgfrit tilbehør). Denne indstilling understøtter konfigurationer, der identificerer gruppemedlemskab for en bruger i brugerobjektets egenskaber. For AD angives f.eks. attributmedlemOf.
konfig-objektklassen	(Valgfrit tilbehør). Objektklassen for den eksterne godkendelsesmyndighed. RFC 4512 definerer objektklassen. Standardværdien: objektklassen.

call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"

C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.

nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded

authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name

authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name       Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local