Enhed for PowerProtect DP-serien og IDPA: Vejledninger og retningslinjer for fejlfinding i forbindelse med LDAP-integration

• IDPA understøtter integration af LDAP med alle punktprodukter via ACM eller Appliance Configuration Manager.
• Efter vellykket LDAP-integration bør en bruger være i stand til at logge på alle IDPA-pointprodukter ved hjælp af LDAP-bruger og deres domænelegitimationsoplysninger.
• På version 2.6.1 og derunder konfigureres LDAP fra ACM, men konfigureres kun på DPC- og søgeservere.
  • For DPA-, Data Domain- (DD) og Avamar-komponenter skal LDAP konfigureres manuelt. 
• På version 2.7.0 og derover konfigureres LDAP fra ACM til alle servere, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) og Search.

LDAP-konfigurationstype ekstern vs. intern

• IDPA konfigurerer en intern LDAPs-server på ACM på tidspunktet for implementeringen, og den er integreret som standard. 
• Brugere kan vælge at konfigurere ekstern LDAP baseret på deres LDAP Server Type efter udrulning. 
• IDPA understøtter active directory- og OPENLDAP-katalogtjenester til integration. 

1. Gå til siden med PowerProtect DP-seriens appliance og IDPA-manualer i Dell Support.
2. Log på portalen.
3. Vælg manualer og dokumenter for at finde produktvejledninger til PowerProtect DP-serien og IDPA baseret på din version

• Serverens værtsnavn: Brugere skal angive FQDN, IP-adresser fungerer ikke.
• Forespørg brugernavn: Brugere skal angive brugernavn i formatet User Principal Name (Abc@domain.com). 
• Indstillinger for administratorgruppe: Scope skal indstilles til "Global", og typen skal være "Sikkerhed".
• Forespørgselsbrugernavnet skal være medlem af LDAP-administratorgruppen.
• Bedste praksis er at bruge små bogstaver til alle værdier. 
• For sikre LDAP-konfigurationer skal brugerne angive rodnøglecentercertifikatet i formatet ".cer".
• Indlejret gruppe er ikke tilladt. Brugere skal være direkte medlem af LDAP-administratorgruppen. 

BEMÆRK:

• For at LDAP-integration kan fungere korrekt på Protection Storage (Data Domain), skal LDAP-forespørgselsbrugeren have tilladelsen "Fuld kontrol" til computerobjektet. 

• Sørg for tilslutningsmuligheder ved hjælp af ping-kommandoen.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• DNS-søgedomæne mangler i "/etc/resolv.conf" kan forårsage ping-fejl til LDAP-serverens værtsnavn. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Portkrav til LDAP-integration
  • TCP-porte 389 og 636 skal være åbne for kommunikation mellem IDPA-komponenter og Active Directory/OPENLDAP.
  • TCP-porte 88 og 464 skal være åbne for Kerberos-godkendelse mellem Protection Software (Avamar), Protection Storage (DD) og AD/OPENLDAP.
• Hvordan testes porttilslutningen?
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Fejlfinding ved hjælp af LDAPSEARCH

ldapsearch er et kommandolinjeværktøj, der åbner en forbindelse til en LDAP-server, bindes til den og udfører en søgning ved hjælp af et filter.

Resultaterne vises derefter i LDIF (LDAP Data Interchange Format).
 

ldapsearch-værktøjet kan bruges på IDPA-komponenter som ACM til at teste forbindelsen med LDAP-serveren og validere indstillingerne.

Syntaks

• Usikker LDAP:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Sikker LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Fejlfinding af certifikater

Følgende kommando henter og viser dig certifikatet fra LDAP-serveren:           

openssl s_client -connect :

Validering af forespørgselsbrugernavn og søgegruppe på AD/DC PowerShell til ekstern Active Directory LDAP-type

PowerShell på Active Directory-serveren kan forespørges om at hente bruger- og gruppeobjekter i DN-format.

• Get-ADUser cmdlet henter et bestemt brugerobjekt eller udfører en søgning for at hente flere brugerobjekter.
• Get-ADGroup cmdlet henter en gruppe eller udfører en søgning for at hente flere grupper fra en Active Directory.

Trin til at opdatere ekstern LDAP-forespørgselsbrugeradgangskode

Hvis LDAP forespørger om ændringer af brugeradgangskoden på ekstern AD/OpenLDAP, kan den opdateres på ACM med samme pop op-vindue "Konfigurer ekstern LDAP".
Dette er et obligatorisk trin for at undgå fejlmeddelelsen "LDAP-adgangskode ikke synkroniseret".

Fejlfindingslogfiler

Ved fejlfinding af LDAP-problemer skal brugerne analysere følgende logfiler på ACM for enhver konfiguration, integration, valideringsfejl:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Vi skal analysere logfiler på de komponenter, hvor LDAP-konfigurationen mislykkedes, og "server.log" fra ACM.

 

Funktionalitet	Logplacering
ACM-/komponentprodukter – LDAP-validering, konfiguration, integration og overvågning	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAP-konfiguration og -godkendelse	/var/log/dpc/elg/elg.log
Søg – LDAP-konfiguration og -godkendelse	/usr/local/search/log/cis/cis.log
Beskyttelsessoftware (Avamar) –LDAP-konfiguration og -godkendelse	/usr/local/avamar/var/mc/server_log/userauthentication.log
Protection Storage (Data Domain) – LDAP-konfiguration og -godkendelse	/ddr/var/log/debug/messages.engineering
Rapportering &analyse (DPA) –LDAP-konfiguration og -godkendelse	/opt/emc/dpa/services/logs/server.log