Data Domain: Active Directory'ye sahip LDAP'ler "Doğrulama Başarısız" Hatasıyla başarısız oluyor

Summary: Active Directory etkinken Basit Dizin Erişim Protokolü (LDAP) bir hata vererek başarısız olur.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Data Domain sistemine yanlış bir sertifika alınırsa Active Directory etkin LDAP başarısız olabilir.

Örnek:   
sysadmin@dd01# authentication ldap show
LDAP configuration
        Enabled:         no
        Base-suffix:     dc=lab,dc=example,dc=com
        Server Type:     Active Directory
        Binddn:          administrator@lab.example.com
        Server(s):       1
#   Server
-   ------------------------   ---------
1   MYADSERV.com.example.com   (primary)
-   ------------------------   ---------

Secure LDAP configuration
        SSL Enabled:     yes
        SSL Method:      ldaps
        tls_reqcert:     demand
sysadmin@dd01# authentication ldap enable
LDAP configuration
        Enabled:         no
        Base-suffix:     dc=lab,dc=example,dc=com
        Server Type:     Active Directory
        Binddn:          administrator@lab.example.com
        Server(s):       1
#   Server
-   ------------------------   ---------
1   MYADSERV.com.example.com   (primary)
-   ------------------------   ---------


Secure LDAP configuration
        SSL Enabled:     yes
        SSL Method:      ldaps
        tls_reqcert:     demand

LDAP will be enabled with the above configuration.
        Do you want to continue? (yes|no) [no]: yes

**** Failed to enable: validation failed. Error while performing ldap query.


Aug 16 22:07:20 dd01 sms: NOTICE: Run: timeout 60 /bin/ldapsearch -x -H ldaps://MYADSERV.lab.example.com/ -b 'dc=lab,dc=example,dc=lab' -s base -LLL -D 'administrator@lab.example.com' -y /etc/openldap/bindpw_file 2>&1
Aug 16 22:07:20 dd01 sms: NOTICE: Output: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
Aug 16 22:07:20 dd01 sms: NOTICE: ldapsearch error:255
Aug 16 22:07:20 dd01 sms: ERROR: _check_ldap_status: Failed to run ldapsearch query: **** An error occurred while running an internal command.
Aug 16 22:07:20 dd01 sms: INFO: _sms_ldap_get_status:1183: LDAP server MYADSERV.lab.example.com has an error: validation failed. Error while performing ldap query.
Aug 16 22:07:20 dd01 sms: ERROR: _validate_ldap_status_during_enable:1380: validation failed. Error while performing ldap query.
Aug 16 22:07:20 dd01 sms: ERROR: sms_ldap_setup_config_job:2253: **** Failed to enable: validation failed. Error while performing ldap query.
Aug 16 22:07:20 dd01 -ddsh: NOTICE: MSG-DDSH-00017: (tty=pts/2, session=15211) sysadmin: command "authentication ldap enable" exited with code: 33
Aug 16 22:07:44 dd01 sms: INFO: Map MG/DG UUID into volume UUID and Name

Cause

Active Directory ile LDAP entegrasyonu için sistemin FDQN'li bir LDAP sertifikası olması gerekir.

sysadmin@dd01# adminaccess certificate show
Subject               Type          Application   Valid From                 Valid Until                Fingerprint
-------------------   -----------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.lab.example.com   host          https         Sat Aug 15 09:14:31 2020   Tue Aug 15 16:14:31 2023   D3:B6:F8:B6:3C:91:DA:B8:BB:96:44:38:3F:85:10:BD:A9:23:9E:D9
lab-MYADSERV-CA        imported-ca   ldap          Mon Aug 16 21:51:24 2021   Sun Aug 16 22:01:23 2026   B7:40:A1:FA:7D:19:B6:D0:EB:FF:5D:72:70:64:43:E1:6B:70:5E:75
-------------------   -----------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

AD LDAP'nin DDMC de desteklenmediğini unutmayın.

Resolution

  1. Müşteri, FDQN ile yeni bir LDAP sertifikası oluşturacaktır .
  2. Yeni sertifikayı FDQN ile yükleyin ve LDAP'yi etkinleştirin.
Örnek:
FDQN ile LDPA sertifikası  
sysadmin@dd01# adminaccess certificate show
Subject                       Type          Application   Valid From                 Valid Until                Fingerprint
-----------------------     -----------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.lab.example.com          host          https         Sat Aug 15 09:14:31 2020   Tue Aug 15 16:14:31 2023   D3:B6:F8:B6:3C:91:DA:B8:BB:96:44:38:3F:85:10:BD:A9:23:9E:D9
lab-MYADSERV-CA             imported-ca   ldap          Mon Aug 16 21:51:24 2021   Sun Aug 16 22:01:23 2026   B7:40:A1:FA:7D:19:B6:D0:EB:FF:5D:72:70:64:43:E1:6B:70:5E:75
MYADSERV.lab.example.com    imported-ca   ldap          Mon Aug 16 22:05:09 2021   Sat Aug 16 22:15:08 2031   2F:82:C5:C1:0A:DF:26:A2:97:63:9B:74:3E:AC:D8:39:5E:0E:08:B9
------------------------      ----------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

sysadmin@dd01# authentication ldap enable
LDAP configuration
        Enabled:         no
        Base-suffix:     dc=lab,dc=example,dc=com
        Server Type:     Active Directory
        Binddn:          administrator@lab.example.com
        Server(s):       1
#   Server
-   ------------------------   ---------
1   MYADSERV.com.example.com   (primary)
-   ------------------------   ---------

Secure LDAP configuration
        SSL Enabled:     yes
        SSL Method:      ldaps
        tls_reqcert:     demand

LDAP will be enabled with the above configuration.
        Do you want to continue? (yes|no) [no]: y

LDAP is enabled.

Additional Information

Aşağıda, Kullanıcılar ve gruplar için AD kullanarak LDAP yapılandırmasını tamamlamak için gereksinimler verilmiştir.
  1. AD'deki Data Domain kullanıcıları için bir grup yapılandırın ve bu grup için GID'yi ayarlayın.
  2. Her AD kullanıcısı UID ve GID setine sahip olmalıdır.
Örneğin: 
DD'de: 
# authentication ldap groups show
LDAP Group   Role
----------   -----
myadmins     admin
----------   -----
AD sunucusunda: 
#  get-adgroup myadmins -properties * |findstr gidNumber
gidNumber                       : 200

# get-aduser test -properties * |findstr uidNumber
uidNumber                            : 600

#get-aduser test  -properties * |findstr gidNumber
gidNumber                            : 200
SSH üzerinden bağlanma 
$ ssh  test@ddve
EMC Data Domain Virtual Edition
Password:
Last login: Thu Aug 19 17:25:23 PDT 2021 from xx.xx.xx.xx on gui


Welcome to Data Domain OS 7.6.0.5-685135
----------------------------------------

test@ddve4#


Windows Server 2016 (ve sonraki) sürümleri için Active Directory Kullanıcıları ve Bilgisayarlarında kimlik eşlemelerini yapılandırma:
Etki alanı denetleyicisinde:

  1. Yönetimsel Araçlar öğesine tıklayın 
  2. Active Directory Kullanıcıları ve Bilgisayarları'nı (ADUC) başlatın.
  3. Görünüm menüsünden Gelişmiş Özellikler'i etkinleştirin.
  4. Users altında belirli bir kullanıcı nesnesine gidin
  5. Özellikler menüsünü açmak için Kullanıcı nesnesine sağ tıklayın,
  6. Öznitelik Düzenleyicisi sekmesine gidin.
  7. Users için uidNumber değerini belirtin. Groups için gidNumber belirtin.

Affected Products

Data Domain
Article Properties
Article Number: 000190700
Article Type: Solution
Last Modified: 20 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.