Dispositivo PowerProtect serie DP e IDPA: Instrucciones y pautas de solución de problemas sobre la integración de LDAP

• IDPA soporta la integración de LDAP en todos los productos puntuales a través de ACM o Appliance Configuration Manager.
• Después de la integración correcta de LDAP, el usuario debería poder iniciar sesión en todos los productos puntuales de IDPA con el usuario de LDAP y sus credenciales de dominio.
• En la versión 2.6.1 y versiones anteriores, LDAP se configura en ACM, pero solo en los servidores de Search y DPC.
  • En el caso de los componentes de DPA, Data Domain (DD) y Avamar, LDAP se debe configurar manualmente. 
• En las versión 2.7.0 y versiones posteriores, LDAP se configura en ACM en todos los servidores, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) y Search.

Tipo de configuración de LDAP: externo frente a interno

• IDPA configura un servidor LDAP interno en ACM en el momento de la implementación y está integrado de manera predeterminada. 
• Los usuarios pueden optar por configurar un LDAP externo en función del tipo de servidor LDAP después de la implementación. 
• IDPA soporta los servicios de directorio Active Directory y OpenLDAP para la integración. 

1. Vaya a la página PowerProtect DP Series Appliance and IDPA Manuals del sitio de soporte de Dell.
2. Inicie sesión en el portal.
3. Seleccione Manuals and Documents para buscar las guías de producto de PowerProtect DP Series Appliance e IDPA según la versión.

• Nombre de host del servidor: los usuarios deben ingresar el FQDN; las direcciones IP no funcionan.
• Nombre de usuario de consulta: los usuarios deben ingresar el nombre de usuario en el formato de nombre principal de usuario (Abc@domain.com). 
• Configuración del grupo de administradores: el alcance se debe configurar en Global y el tipo debe ser Security.
• El nombre de usuario de consulta debe ser miembro del grupo de administradores de LDAP.
• La práctica recomendada es utilizar minúsculas para todos los valores. 
• En el caso de las configuraciones de LDAP seguro, los usuarios deben ingresar el certificado de CA raíz en el formato .cer.
• No se permiten grupos anidados. Los usuarios deben ser miembros directos del grupo de administradores de LDAP. 

NOTA:

• Para que la integración de LDAP funcione correctamente en el almacenamiento con protección (Data Domain), el usuario de consulta de LDAP debe tener permisos de creación/eliminación de “control total” para el objeto de equipo. 

• Use el comando ping para garantizar la conectividad.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• La falta del dominio de búsqueda de DNS en /etc/resolv.conf puede causar errores de ping en el nombre de host del servidor LDAP. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Requisitos de puertos para la integración de LDAP
  • Los puertos TCP 389 y 636 deben estar abiertos para la comunicación entre los componentes de IDPA y Active Directory/OpenLDAP.
  • Los puertos TCP 88 y 464 deben estar abiertos para la autenticación de Kerberos entre el software de protección (Avamar), el almacenamiento con protección (DD) y AD/OpenLDAP.
• ¿Cómo se prueba la conectividad de los puertos?
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Solución de problemas mediante LDAPSEARCH

ldapsearch es una herramienta de línea de comandos que abre una conexión a un servidor LDAP, se vincula a él y realiza una búsqueda mediante un filtro.

A continuación, los resultados se muestran en el formato de intercambio de datos de LDAP (LDIF).
 

La herramienta ldapsearch se puede utilizar en los componentes de IDPA, como ACM, para probar la conexión con el servidor LDAP y validar la configuración.

Sintaxis

• LDAP no seguro:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• LDAP seguro (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Solución de problemas de certificados

El siguiente comando le permite ver el certificado del servidor LDAP:           

openssl s_client -connect :

Validación del nombre de usuario de consulta y el grupo de búsqueda en AD/DC PowerShell para el tipo de LDAP externo de Active Directory

Se puede consultar Powershell en el servidor de Active Directory para obtener los objetos de usuario y grupo en el formato DN.

• El cmdlet Get-ADUser obtiene un objeto de usuario específico o realiza una búsqueda para obtener varios objetos de usuario.
• El cmdlet Get-ADGroup obtiene un grupo o realiza una búsqueda para recuperar varios grupos de Active Directory.

Pasos para actualizar la contraseña de usuario de consulta del LDAP externo

Si la contraseña de usuario de consulta del LDAP cambia en AD/OpenLDAP externo, se puede actualizar en ACM en la misma ventana emergente Configure external LDAP.
Este es un paso obligatorio para evitar el mensaje de error “LDAP password out of sync”.

Registros de solución de problemas

Cuando solucionen problemas de LDAP, los usuarios deben analizar los siguientes registros en ACM para detectar cualquier error de configuración, integración o validación:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Debemos analizar los registros de los componentes en los que falló la configuración de LDAP y el “server.log” en ACM.

 

Funcionalidad	Ubicación del registro
Productos de componente/ACM: validación, configuración, integración y monitoreo de LDAP	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC): configuración y autenticación de LDAP	/var/log/dpc/elg/elg.log
Search: configuración y autenticación de LDAP	/usr/local/search/log/cis/cis.log
Software de protección (Avamar): configuración y autenticación de LDAP	/usr/local/avamar/var/mc/server_log/userauthentication.log
Almacenamiento con protección (Data Domain): configuración y autenticación de LDAP	/ddr/var/log/debug/messages.engineering
Generación de informes y análisis (DPA):configuración y autenticación de LDAP	/opt/emc/dpa/services/logs/server.log