Article Number: 000202496
Appliance der PowerProtect DP-Serie und IDPA: Anweisungen und Troubleshooting-Richtlinien für die LDAP-Integration
Summary: Appliance der PowerProtect DP-Serie und IDPA: Anweisungen und Troubleshooting-Richtlinien für die LDAP-Integration
Article Content
Instructions
Übersicht über die LDAP-Integration auf Appliances der PowerProtect DP-Serie und Integration Data Protection Appliances (IDPA)
Standardmäßig ist die Appliance der PowerProtect DP-Serie für die Verwendung der internen LDAP-Konfiguration vorkonfiguriert. Mit den Optionen für die Konfiguration von externem LDAP können Sie diese Standardkonfiguration jedoch in eine externe LDAP-Konfiguration ändern. Die Option „Configure external LDAP“ ist im ACM-Dashboard im Bereich „General Settings“ über das Zahnradmenü verfügbar.
Konfigurationsschritte
Anweisungen zum Einrichten von externem LDAP finden Sie in den Produkthandbüchern für die Appliance der PowerProtect DP-Serie und IDPA.
Troubleshooting von Fehlern bei der LDAP-Konfigurationsvalidierung
Troubleshooting der Konnektivität
Troubleshooting der Ports
Troubleshooting mithilfe von LDAPSEARCH
ldapsearch ist ein Befehlszeilentool, das eine Verbindung zu einem LDAP-Server öffnet, sich an ihn bindet und eine Suche mithilfe eines Filters durchführt.
Troubleshooting von Zertifikaten
Mit dem folgenden Befehl wird das Zertifikat vom LDAP-Server abgerufen und angezeigt:
Validieren des Abfragenutzernamens und der Suchgruppe auf AD/DC PowerShell für den externen Active Directory-LDAP-Typ
Auf dem Active Directory-Server kann PowerShell abgefragt werden, um die Nutzer- und Gruppenobjekte im DN-Format abzurufen.
Schritte zum Aktualisieren des Abfragenutzerkennworts für externes LDAP
Wenn sich das LDAP-Abfragenutzerkennwort auf dem externen AD/OpenLDAP ändert, kann es im ACM in demselben Pop-up-Fenster „Configure external LDAP“ aktualisiert werden.
Dies ist ein obligatorischer Schritt, um die Fehlermeldung „LDAP password out of sync“ zu vermeiden.
Troubleshooting-Protokolle
Beim Troubleshooting von LDAP-Problemen müssen NutzerInnen die folgenden Protokolle in ACM auf Konfigurations-, Integrations- und Validierungsfehler überprüfen:
- IDPA unterstützt die Integration von LDAP mit allen Punktprodukten über ACM oder Appliance Configuration Manager.
- Nach der erfolgreichen LDAP-Integration sollte sich ein/e NutzerIn mithilfe des LDAP-Nutzers und den Domänenzugangsdaten bei allen IDPA-Punktprodukten anmelden können.
- In den Versionen 2.6.1 und niedriger wird LDAP über den ACM konfiguriert, aber nur auf DPC- und Suchservern eingerichtet.
- Bei DPA-, Data Domain- (DD) und Avamar-Komponenten muss LDAP manuell konfiguriert werden.
- Ab Version 2.7.0 wird LDAP im ACM für alle Server, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) und die Suche konfiguriert.
LDAP-Konfigurationstyp: extern vs. intern
- IDPA richtet zum Zeitpunkt der Bereitstellung einen internen LDAP-Server im ACM ein, der standardmäßig integriert ist.
- NutzerInnen können nach der Bereitstellung externes LDAP basierend auf ihrem LDAP-Servertyp konfigurieren.
- IDPA unterstützt Active Directory- und OPENLDAP-Verzeichnisdienste für die Integration.
Standardmäßig ist die Appliance der PowerProtect DP-Serie für die Verwendung der internen LDAP-Konfiguration vorkonfiguriert. Mit den Optionen für die Konfiguration von externem LDAP können Sie diese Standardkonfiguration jedoch in eine externe LDAP-Konfiguration ändern. Die Option „Configure external LDAP“ ist im ACM-Dashboard im Bereich „General Settings“ über das Zahnradmenü verfügbar.
Konfigurationsschritte
Anweisungen zum Einrichten von externem LDAP finden Sie in den Produkthandbüchern für die Appliance der PowerProtect DP-Serie und IDPA.
- Navigieren Sie zur Seite Handbücher für Appliance der PowerProtect DP-Serie und IDPA im Bereich Dell Support.
- Melden Sie sich beim Portal an.
- Wählen Sie Handbücher und Dokumente aus, um die Handbücher der Appliance der PowerProtect DP-Serie und der IDPA für Ihre Version zu finden.
HINWEIS:
-
Sie können die vorhandenen LDAP-Einstellungen nicht über das Dialogfeld „Configure external LDAP“ anzeigen.
-
Die LDAP-Konfiguration auf IDPA unterstützt sowohl ungesicherte als auch gesicherte (LDAPS-)Konfigurationen.
Troubleshooting von Fehlern bei der LDAP-Konfigurationsvalidierung
- Server-Hostname: NutzerInnen müssen den FQDN angeben, IP-Adressen funktionieren nicht.
- Abfragenutzername: NutzerInnen müssen den Nutzernamen im „User Principal“-Namensformat (Abc@domäne.com) angeben.
- Admin-Gruppeneinstellungen: Der Umfang sollte auf „Global“ und der Typ auf „Security“ festgelegt werden.
- Der Abfragenutzername muss Mitglied der LDAP-Admingruppe sein.
- Best Practice ist die Verwendung von Kleinbuchstaben für alle Werte.
- Für sichere LDAP-Konfigurationen müssen NutzerInnen das CA-Zertifikat im Format „.cer“ bereitstellen.
- Verschachtelte Gruppen sind nicht zulässig. NutzerInnen sollten ein direktes Mitglied der LDAP-Admingruppe sein.
HINWEIS:
• Damit die LDAP-Integration erfolgreich auf Datenschutzspeichern (Data Domain) funktioniert, muss der LDAP-Abfragenutzer über die Berechtigung „Full Control“ für „Remove/Create“ für das Computerobjekt verfügen.
Troubleshooting der Konnektivität
- Stellen Sie die Konnektivität mit dem Ping-Befehl sicher.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - Wenn die DNS-Suchdomäne in „/etc/resolv.conf“ fehlt, kann dies zu einem Ping-Fehler beim Hostnamen des LDAP-Servers führen.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Troubleshooting der Ports
- Portanforderungen für die LDAP-Integration
- TCP-Ports 389 und 636 müssen für die Kommunikation zwischen IDPA-Komponenten und Active Directory/OPENLDAP geöffnet sein.
- Die TCP-Ports 88 und 464 müssen für die Kerberos-Authentifizierung zwischen der Schutzsoftware (Avamar), dem Datenschutzspeicher (DD) und AD/OPENLDAP geöffnet sein.
- Anleitung zum Testen der Portkonnektivität
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Troubleshooting mithilfe von LDAPSEARCH
ldapsearch ist ein Befehlszeilentool, das eine Verbindung zu einem LDAP-Server öffnet, sich an ihn bindet und eine Suche mithilfe eines Filters durchführt.
Die Ergebnisse werden dann im LDIF (LDAP Data Interchange Format) angezeigt.
Das ldapsearch-Tool kann auf IDPA-Komponenten wie ACM verwendet werden, um die Verbindung mit dem LDAP-Server zu testen und die Einstellungen zu validieren.
Syntax
- Ungesichertes LDAP:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - Gesichertes LDAP (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
Mit dem folgenden Befehl wird das Zertifikat vom LDAP-Server abgerufen und angezeigt:
openssl s_client -connect :
Validieren des Abfragenutzernamens und der Suchgruppe auf AD/DC PowerShell für den externen Active Directory-LDAP-Typ
Auf dem Active Directory-Server kann PowerShell abgefragt werden, um die Nutzer- und Gruppenobjekte im DN-Format abzurufen.
- Das Cmdlet „Get-ADUser“ ruft ein vorgegebenes Nutzerobjekt ab oder führt eine Suche durch, um mehrere Nutzerobjekte abzurufen.
- Das Cmdlet „Get-ADGroup“ ruft eine Gruppe ab oder führt eine Suche durch, um mehrere Gruppen aus einem Active Directory abzurufen.
Schritte zum Aktualisieren des Abfragenutzerkennworts für externes LDAP
Wenn sich das LDAP-Abfragenutzerkennwort auf dem externen AD/OpenLDAP ändert, kann es im ACM in demselben Pop-up-Fenster „Configure external LDAP“ aktualisiert werden.
Dies ist ein obligatorischer Schritt, um die Fehlermeldung „LDAP password out of sync“ zu vermeiden.
Troubleshooting-Protokolle
Beim Troubleshooting von LDAP-Problemen müssen NutzerInnen die folgenden Protokolle in ACM auf Konfigurations-, Integrations- und Validierungsfehler überprüfen:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Es müssen Protokolle für die Komponenten analysiert werden, bei denen die LDAP-Konfiguration fehlgeschlagen ist, sowie das server.log aus dem ACM.
| Funktionalität | Protokoll- speicherort |
ACM/Komponentenprodukte – LDAP-Validierung, -Konfiguration, -Integration und -Monitoring |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC) – LDAP-Konfiguration und -Authentifizierung | /var/log/dpc/elg/elg.log |
| Suche – LDAP-Konfiguration und -Authentifizierung | /usr/local/search/log/cis/cis.log |
Schutzsoftware (Avamar) –LDAP-Konfiguration und -Authentifizierung |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Datenschutzspeicher (Data Domain) – LDAP-Konfiguration und -Authentifizierung |
/ddr/var/log/debug/messages.engineering |
Reporting und Analysen (DPA) –LDAP-Konfiguration und -Authentifizierung |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Article Properties
Affected Product
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software
Product
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Last Published Date
22 Feb 2023
Version
8
Article Type
How To