Zařízení PowerProtect řady DP a IDPA: Pokyny a průvodce odstraňováním problémů s integrací LDAP

• Zařízení IDPA podporuje integraci protokolu LDAP do všech produktů prostřednictvím nástroji ACM neboli Appliance Configuration Manager.
• Po úspěšné integraci protokolu LDAP by se měl uživatel přihlásit ke všem produktům IDPA pomocí uživatele LDAP a jeho přihlašovacích údajů domény.
• Ve verzích 2.6.1 a nižších je protokol LDAP nakonfigurován z nástroje ACM, ale nastaven pouze na serverech DPC a Search.
  • U komponent DPA, Data Domain (DD) a Avamar je nutné protokol LDAP nakonfigurovat ručně. 
• Ve verzích 2.7.0 a vyšších je protokol LDAP nakonfigurován z nástroje ACM pro všechny servery, systém Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) a Search.

Externí vs. interní typ konfigurace LDAP

• Zařízení IDPA nastaví v době nasazení interní server LDAP v nástroji ACM, který je ve výchozím nastavení integrovaný. 
• Uživatelé se mohou po nasazení rozhodnout nakonfigurovat externí protokol LDAP podle typu serveru LDAP. 
• Zařízení IDPA podporuje pro integraci adresářové služby službu Active Directory a OPENLDAP. 

1. Přejděte na stránku Příručky a návody k zařízení PowerProtect DP a IDPA na webu podpory společnosti Dell.
2. Přihlaste se k portálu.
3. Výběrem možnost Příručky a dokumenty vyhledejte zařízení PowerProtect řady DP a příručky k produktům IDPA podle vaší verze.

• Server Hostname: Uživatelé musí zadat plně kvalifikovaný název domény, IP adresy nefungují.
• Query username: Uživatelé musí poskytnout uživatelské jméno ve formátu hlavního uživatelského jména (Abc@doména.com). 
• Admin Group Settings: Rozsah by měl být nastaven na hodnotu „Global“ a typ na hodnotu „Security“.
• Do pole „Query Username“ je nutné zadat člena skupiny správců LDAP.
• Nejlepší je používat pro všechny hodnoty malá písmena. 
• U zabezpečených konfigurací LDAP musí uživatelé poskytnout certifikát kořenové certifikační autority ve formátu „.cer“.
• Vnořená skupina není povolena. Uživatelé by měli být přímým členem skupiny správců LDAP. 

POZNÁMKA:

Aby integrace LDAP fungovala úspěšně v Protection Storage (Data Domain), uživatel dotazu LDAP musí mít u objektu Computer object oprávnění Create/Remove „Full Control“. 

• Zkontrolujte připojení pomocí příkazu ping.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• Chybějící doména vyhledávání DNS v souboru „/etc/resolv.conf“ může způsobit selhání příkazu ping pro získání názvu hostitele serveru LDAP. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Požadavky na porty pro integraci protokolu LDAP
  • Porty TCP 389 a 636 musí být otevřené pro komunikaci mezi komponentami IDPA a službou Active Directory/OPENLDAP.
  • Porty TCP 88 a 464 musí být otevřené pro ověřování Kerberos mezi softwarem pro ochranu (Avamar), ochrannou úložiště (DD) a službou AD/OPENLDAP.
• Jak otestovat konektivitu portu?
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Odstraňování problémů pomocí příkazu LDAPSEARCH

ldapsearch je nástroj příkazového řádku, který otevře připojení k serveru LDAP, vytvoří s ním vazby a provede vyhledávání pomocí filtru.

Výsledky se poté zobrazí ve formátu LDIF (LDAP Data Interchange Format).
 

Nástroj ldapsearch lze použít na komponentách IDPA, jako je ACM, k testování připojení k serveru LDAP a ověření nastavení.

Syntax

• Nezabezpečený protokol LDAP:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Zabezpečený protokol LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Odstraňování problémů s certifikáty

Následující příkaz zobrazí certifikát ze serveru LDAP:           

openssl s_client -connect :

Ověřování uživatelského jména dotazu a vyhledávací skupiny v prostředí AD/DC PowerShell pro externí typ LDAP služby Active Directory

V prostředí Powershell na serveru Active Directory lze dotazem získat objekty uživatelů a skupin ve formátu DN.

• Pomocí rutiny „Get-ADUser“ můžete získat určitý objekt uživatele nebo provést hledání za účelem získání více objektů uživatele.
• Pomocí rutiny „Get-ADGroup“ můžete získat skupinu nebo provést hledání za účelem získání více skupin z Active Directory.

Postup aktualizace uživatelského hesla dotazu externího protokolu LDAP

Pokud se uživatelské heslo dotazu LDAP změní na externím serveru AD/OpenLDAP, lze jej aktualizovat v nástroji pomocí stejného místního okna „Configure external LDAP“.
To je nutné provést, abyste se vyhnuli chybové zprávě „LDAP password out of sync“.

Odstraňování problémů s protokoly

Při odstraňování problémů s protokolem LDAP musí uživatelé v nástroji ACM analyzovat následující protokoly ohledně konfigurace, integrace, chyb ověření:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Je třeba analyzovat protokoly na komponentách, kde selhala konfigurace LDAP a protokol „server.log“ v nástroji ACM.

 

Funkce	Umístění protokolu
Produkty ACM/komponent – ověření LDAP, konfigurace, integrace a monitorování	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – Konfigurace a ověřování LDAP	/var/log/dpc/elg/elg.log
Vyhledávání – konfigurace a ověřování LDAP	/usr/local/search/log/cis/cis.log
Software pro ochranu (Avamar) – Konfigurace a ověřování LDAP	/usr/local/avamar/var/mc/server_log/userauthentication.log
Ochrana úložiště (Data Domain) – Konfigurace a ověřování LDAP	/ddr/var/log/debug/messages.engineering
Hlášení a analýza (DPA) – Konfigurace a ověřování LDAP	/opt/emc/dpa/services/logs/server.log