PowerProtect DP serie apparaat en IDPA: Instructies en richtlijnen voor probleemoplossing voor LDAP-integratie

• IDPA ondersteunt integratie van LDAP met all-point producten via ACM of Appliance Configuration Manager.
• Na een succesvolle LDAP-integratie moet een gebruiker zich kunnen aanmelden bij alle IDPA-pointproducten met behulp van LDAP-gebruiker en hun domeinreferenties.
• Op versie 2.6.1 en lager is LDAP geconfigureerd vanaf de ACM, maar alleen ingesteld op DPC- en Search-servers.
  • Voor DPA,Data Domain (DD) en Avamar componenten moet LDAP handmatig worden geconfigureerd. 
• Op versie 2.7.0 en hoger is LDAP geconfigureerd vanuit de ACM voor alle servers, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) en Search.

LDAP-configuratietype extern versus intern

• IDPA stelt op het moment van implementatie een interne LSP-server in op de ACM en die is standaard geïntegreerd. 
• Gebruikers kunnen ervoor kiezen om externe LDAP te configureren op basis van hun LDAP Server Type na implementatie. 
• IDPA ondersteunt Active Directory- en OPENLDAP-directoryservices voor integratie. 

1. Ga naar de pagina PowerProtect DP serie Appliance en IDPA handleidingen in Dell Support.
2. Meld u aan bij de portal.
3. Selecteer de handleidingen en documenten om de PowerProtect DP serie apparaat- en IDPA-producthandleidingen te vinden op basis van uw versie

• Hostnaam server: Gebruikers moeten FQDN opgeven, IP-adressen werken niet.
• Gebruikersnaam opvragen: Gebruikers moeten gebruikersnaam opgeven in user principal name format (Abc@domain.com). 
• Instellingen admingroep: Het bereik moet worden ingesteld op 'Global' en het type moet 'Security' zijn.
• De gebruikersnaam van de query moet lid zijn van de LDAP-beheerdersgroep.
• Best practice is om kleine letters te gebruiken voor alle waarden. 
• Voor veilige LDAP-configuraties moeten gebruikers het root CA-certificaat in de indeling '.cer' opgeven.
• Geneste groep is niet toegestaan. Gebruikers moeten rechtstreeks lid zijn van de LDAP-beheerdersgroep. 

OPMERKING:

• Om LDAP-integratie succesvol te laten werken op Protection Storage (Data Domain), moet de LDAP-querygebruiker machtigingen voor 'Volledig beheer' voor computerobject maken/verwijderen hebben. 

• Zorg voor connectiviteit met behulp van de ping-opdracht.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• Dns-zoekdomein ontbreekt in "/etc/resolv.conf" kan leiden tot pingfouten in ldap-serverhostnaam. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Poortvereisten voor LDAP-integratie
  • TCP-poorten 389 en 636 moeten open zijn voor communicatie tussen IDPA-componenten en Active Directory/OPENLDAP.
  • TCP-poorten 88 en 464 moeten open zijn voor Kerberos-authenticatie tussen Protection Software (Avamar), Protection Storage (DD) en de AD/OPENLDAP.
• Poortconnectiviteit testen
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Probleemoplossing met LDAPSEARCH

ldapsearch is een opdrachtregeltool die een verbinding met een LDAP-server opent, zich er aan verbindt en een zoekopdracht uitvoert met behulp van een filter.

De resultaten worden vervolgens weergegeven in de LDIF (LDAP Data Interchange Format).
 

ldapsearch-tool kan worden gebruikt op IDPA-componenten zoals ACM om de verbinding met LDAP-server te testen en de instellingen te valideren.

Syntaxis

• Onveilige LDAP:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Veilige LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Certificaten

voor probleemoplossing Met de volgende opdracht wordt het certificaat van de LDAP-server opgehaald en weergegeven:           

openssl s_client -connect :

De gebruikersnaam van de query en de zoekgroep op AD/DC PowerShell valideren voor het LDAP-type

van de externe Active DirectoryPowerShell op de Active Directory-server kan worden opgevraagd om de gebruikers- en groepobjecten op te halen in DN-indeling.

• De Get-ADUser cmdlet krijgt een opgegeven gebruikersobject of voert een zoekopdracht uit om meerdere gebruikersobjecten op te halen.
• De Get-ADGroup cmdlet krijgt een groep of voert een zoekopdracht uit om meerdere groepen uit een Active Directory op te halen.

Stappen voor het bijwerken van het wachtwoord van de externe LDAP-querygebruiker

Als het LDAP-querywachtwoord wordt gewijzigd op externe AD/OpenLDAP, kan het worden bijgewerkt op ACM met dezelfde pop-up "Configure external LDAP".
Dit is een verplichte stap om te voorkomen dat de foutmelding "LDAP password out of sync" wordt weergegeven.

Logboeken

voor probleemoplossingBij het oplossen van LDAP-problemen moeten gebruikers de volgende logboeken op ACM analyseren voor configuratie-, integratie-, validatiefouten:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

We moeten logboeken analyseren op de componenten waarop de LDAP-configuratie is mislukt en het 'server.log' van de ACM.

 

Functionaliteit	Locatie van logboek
ACM/Component producten – LDAP validatie, configuratie, integratie en bewaking	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAP-configuratie en verificatie	/var/log/dpc/elg/elg.log
Zoeken – LDAP-configuratie en verificatie	/usr/local/search/log/cis/cis.log
Beschermingssoftware (Avamar) –LDAP-configuratie en verificatie	/usr/local/avamar/var/mc/server_log/userauthentication.log
Protection Storage (Data Domain) – LDAP-configuratie en verificatie	/ddr/var/log/debug/messages.engineering
Reporting & Analytics (DPA) –LDAP-configuratie en verificatie	/opt/emc/dpa/services/logs/server.log