PowerProtect DPシリーズ アプライアンスおよびIDPA：LDAP統合に関する手順とトラブルシューティング ガイドライン

• IDPAは、ACM (Appliance Configuration Manager)を通じて、LDAPをすべてのポイント製品と統合することをサポートしています。
• LDAP統合が正常に完了すると、ユーザーはLDAPユーザーとそのドメイン認証情報を使用して、すべてのIDPAポイント製品にログインできるようになるはずです。
• バージョン2.6.1以下では、LDAPはACMから構成されますが、DPCおよびSearchサーバーにのみ設定されます。
  • DPA、Data Domain (DD)、およびAvamarコンポーネントの場合は、LDAPを手動で構成する必要があります。 
• バージョン2.7.0以降では、すべてのサーバー、Data Domain (DD)、Avamar、Data Protection Advisor (DPA)、Data Protection Central (DPC)、Searchに対して、ACMからLDAPが構成されます。

LDAP構成タイプ（外部と内部）

• IDPAは、導入時にACMに内部LDAPサーバーを設定します。これはデフォルトで統合されています。 
• ユーザーは、導入後のLDAPサーバー タイプに基づいて、外部LDAPを構成することを選択できます。 
• IDPAは、統合のためにActive DirectoryおよびOPENLDAPディレクトリー サービスをサポートしています。 

1. Dellサポートの、PowerProtect DPシリーズ アプライアンスおよびIDPAのマニュアル ページに移動します。
2. ポータルにサインインします。
3. ［マニュアルおよび文書］を選択してで、PowerProtect DPシリーズ アプライアンスおよびIDPA製品ガイドを、お使いのバージョンに応じて見つけます。

• サーバー ホスト名：ユーザーはFQDNを指定する必要があります。IPアドレスは機能しません。
• クエリー ユーザー名：ユーザーは、ユーザー名をユーザー プリンシパル名形式(Abc@domain.com)で指定する必要があります。 
• 管理者グループ設定：範囲は［Global］に設定し、タイプは［Security］にする必要があります。
• クエリー ユーザー名は、LDAP管理者グループのメンバーである必要があります。
• ベスト プラクティスは、すべての値に小文字を使用することです。 
• LDAPをセキュアに構成するためには、ルートCA証明書を「.cer」形式で提供する必要があります。
• ネストされたグループは許可されません。ユーザーは、LDAP管理者グループの直接のメンバーである必要があります。 

メモ:

• 保護ストレージ(Data Domain)でLDAP統合を正常に機能させるには、LDAPクエリー ユーザーがコンピューター オブジェクトの作成/削除の「フル コントロール」権限を持っている必要があります。 

• pingコマンドを使用して接続を確認します。
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• 「/etc/resolv.conf」にDNS検索ドメインがない場合、LDAPサーバーのホスト名に対するpingが失敗する可能性があります。 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• LDAP統合のポート要件
  • IDPAコンポーネントとActive Directory/OPENLDAP間の通信には、TCPポート389および636が開いている必要があります。
  • 保護ソフトウェア(Avamar)、保護ストレージ(DD)、AD/OPENLDAPの間でKerberos認証を行うには、TCPポート88および464が開いている必要があります。
• ポートの接続性をテストする方法とは
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

LDAPSEARCHを使用したトラブルシューティング

ldapsearchは、LDAPサーバーへの接続を開き、LDAPサーバーにバインドし、フィルターを使用して検索を実行するコマンドライン ツールです。

結果はLDIF（LDAPデータ交換形式）で表示されます。
 

ldapsearchツールは、ACMなどのIDPAコンポーネントで使用し、LDAPサーバーとの接続をテストし、設定を検証することができます。

構文

• セキュアでないLDAP：

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• セキュアなLDAP (LDAPS)：

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

証明書のトラブルシューティング

次のコマンドを実行すると、LDAPサーバーから証明書が取得され、表示されます。           

openssl s_client -connect :

外部Active Directory LDAPタイプのAD/DC PowerShellでのクエリー ユーザー名と検索グループの検証

Active Directoryサーバー上のPowershellにクエリーを実行して、DN形式のユーザーおよびグループ オブジェクトを取得できます。

• Get-ADUserコマンドレットは、指定したユーザー オブジェクトを取得するか、検索を実行して複数のユーザー オブジェクトを取得します。
• Get-ADGroupコマンドレットは、グループを取得するか、検索を実行してActive Directoryから複数のグループを取得します。

外部LDAPクエリー ユーザーのパスワードをアップデートする手順

LDAPクエリー ユーザーのパスワードが外部AD/OpenLDAPで変更された場合は、同じ［Configure external LDAP］ポップアップを使用してACMでアップデートできます。
これは、「LDAP password out of sync」エラー メッセージを回避するための必須手順です。

ログのトラブルシューティング

LDAPの問題をトラブルシューティングする場合、ユーザーはACM上の以下のログを分析して、構成、統合、検証エラーを確認する必要があります。

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

LDAP構成に失敗したコンポーネントのログと、ACMの「server.log」を分析する必要があります。

 

機能性	ログの場所
ACM/コンポーネント製品 – LDAP検証、構成、統合、モニタリング	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAPの構成と認証	/var/log/dpc/elg/elg.log
検索 – LDAPの構成と認証	/usr/local/search/log/cis/cis.log
保護ソフトウェア(Avamar) – LDAPの構成と認証	/usr/local/avamar/var/mc/server_log/userauthentication.log
保護ストレージ(Data Domain) – LDAPの構成と認証	/ddr/var/log/debug/messages.engineering
レポート作成および分析(DPA) – LDAPの構成と認証	/opt/emc/dpa/services/logs/server.log