Article Number: 000202496
PowerProtect DP serie apparaat en IDPA: Instructies en richtlijnen voor probleemoplossing voor LDAP-integratie
Summary: PowerProtect DP serie apparaat en IDPA: Instructies en richtlijnen voor probleemoplossing voor LDAP-integratie
Article Content
Instructions
LDAP-integratieoverzicht op PowerProtect DP serie Appliance and Integration Data Protection Appliance (IDPA)
De PowerProtect DP Serie Appliance is standaard vooraf geconfigureerd om de interne LDAP-configuratie te gebruiken. Met de opties Voor externe LDAP configureren kunt u deze standaardconfiguratie echter wijzigen in een externe LDAP-configuratie. De optie "Configure external LDAP" is beschikbaar op het ACM-dashboard, in het paneel Algemene instellingen, onder het tandwielpictogrammenu.
Configuratiestappen
Instructies voor het instellen van externe LDAP vindt u in de PowerProtect DP serie apparaat- en IDPA-producthandleidingen.
Ldap-configuratievalidatiefouten oplossen
Problemen met connectiviteit oplossen
Problemen met poorten oplossen
Probleemoplossing met LDAPSEARCH
ldapsearch is een opdrachtregeltool die een verbinding met een LDAP-server opent, zich er aan verbindt en een zoekopdracht uitvoert met behulp van een filter.
Certificaten
voor probleemoplossing Met de volgende opdracht wordt het certificaat van de LDAP-server opgehaald en weergegeven:
De gebruikersnaam van de query en de zoekgroep op AD/DC PowerShell valideren voor het LDAP-type
van de externe Active DirectoryPowerShell op de Active Directory-server kan worden opgevraagd om de gebruikers- en groepobjecten op te halen in DN-indeling.
Stappen voor het bijwerken van het wachtwoord van de externe LDAP-querygebruiker
Als het LDAP-querywachtwoord wordt gewijzigd op externe AD/OpenLDAP, kan het worden bijgewerkt op ACM met dezelfde pop-up "Configure external LDAP".
Dit is een verplichte stap om te voorkomen dat de foutmelding "LDAP password out of sync" wordt weergegeven.
Logboeken
voor probleemoplossingBij het oplossen van LDAP-problemen moeten gebruikers de volgende logboeken op ACM analyseren voor configuratie-, integratie-, validatiefouten:
- IDPA ondersteunt integratie van LDAP met all-point producten via ACM of Appliance Configuration Manager.
- Na een succesvolle LDAP-integratie moet een gebruiker zich kunnen aanmelden bij alle IDPA-pointproducten met behulp van LDAP-gebruiker en hun domeinreferenties.
- Op versie 2.6.1 en lager is LDAP geconfigureerd vanaf de ACM, maar alleen ingesteld op DPC- en Search-servers.
- Voor DPA,Data Domain (DD) en Avamar componenten moet LDAP handmatig worden geconfigureerd.
- Op versie 2.7.0 en hoger is LDAP geconfigureerd vanuit de ACM voor alle servers, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) en Search.
LDAP-configuratietype extern versus intern
- IDPA stelt op het moment van implementatie een interne LSP-server in op de ACM en die is standaard geïntegreerd.
- Gebruikers kunnen ervoor kiezen om externe LDAP te configureren op basis van hun LDAP Server Type na implementatie.
- IDPA ondersteunt Active Directory- en OPENLDAP-directoryservices voor integratie.
De PowerProtect DP Serie Appliance is standaard vooraf geconfigureerd om de interne LDAP-configuratie te gebruiken. Met de opties Voor externe LDAP configureren kunt u deze standaardconfiguratie echter wijzigen in een externe LDAP-configuratie. De optie "Configure external LDAP" is beschikbaar op het ACM-dashboard, in het paneel Algemene instellingen, onder het tandwielpictogrammenu.
Configuratiestappen
Instructies voor het instellen van externe LDAP vindt u in de PowerProtect DP serie apparaat- en IDPA-producthandleidingen.
- Ga naar de pagina PowerProtect DP serie Appliance en IDPA handleidingen in Dell Support.
- Meld u aan bij de portal.
- Selecteer de handleidingen en documenten om de PowerProtect DP serie apparaat- en IDPA-producthandleidingen te vinden op basis van uw versie
OPMERKING:
-
U kunt de bestaande LDAP-instellingen niet weergeven in het dialoogvenster Externe LDAP configureren.
-
LDAP-configuratie op IDPA ondersteunt zowel onveilige als veilige (LDAPS) configuraties.
Ldap-configuratievalidatiefouten oplossen
- Hostnaam server: Gebruikers moeten FQDN opgeven, IP-adressen werken niet.
- Gebruikersnaam opvragen: Gebruikers moeten gebruikersnaam opgeven in user principal name format (Abc@domain.com).
- Instellingen admingroep: Het bereik moet worden ingesteld op 'Global' en het type moet 'Security' zijn.
- De gebruikersnaam van de query moet lid zijn van de LDAP-beheerdersgroep.
- Best practice is om kleine letters te gebruiken voor alle waarden.
- Voor veilige LDAP-configuraties moeten gebruikers het root CA-certificaat in de indeling '.cer' opgeven.
- Geneste groep is niet toegestaan. Gebruikers moeten rechtstreeks lid zijn van de LDAP-beheerdersgroep.
OPMERKING:
• Om LDAP-integratie succesvol te laten werken op Protection Storage (Data Domain), moet de LDAP-querygebruiker machtigingen voor 'Volledig beheer' voor computerobject maken/verwijderen hebben.
Problemen met connectiviteit oplossen
- Zorg voor connectiviteit met behulp van de ping-opdracht.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - Dns-zoekdomein ontbreekt in "/etc/resolv.conf" kan leiden tot pingfouten in ldap-serverhostnaam.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Problemen met poorten oplossen
- Poortvereisten voor LDAP-integratie
- TCP-poorten 389 en 636 moeten open zijn voor communicatie tussen IDPA-componenten en Active Directory/OPENLDAP.
- TCP-poorten 88 en 464 moeten open zijn voor Kerberos-authenticatie tussen Protection Software (Avamar), Protection Storage (DD) en de AD/OPENLDAP.
- Poortconnectiviteit testen
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Probleemoplossing met LDAPSEARCH
ldapsearch is een opdrachtregeltool die een verbinding met een LDAP-server opent, zich er aan verbindt en een zoekopdracht uitvoert met behulp van een filter.
De resultaten worden vervolgens weergegeven in de LDIF (LDAP Data Interchange Format).
ldapsearch-tool kan worden gebruikt op IDPA-componenten zoals ACM om de verbinding met LDAP-server te testen en de instellingen te valideren.
Syntaxis
- Onveilige LDAP:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - Veilige LDAP (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
voor probleemoplossing Met de volgende opdracht wordt het certificaat van de LDAP-server opgehaald en weergegeven:
openssl s_client -connect :
De gebruikersnaam van de query en de zoekgroep op AD/DC PowerShell valideren voor het LDAP-type
van de externe Active DirectoryPowerShell op de Active Directory-server kan worden opgevraagd om de gebruikers- en groepobjecten op te halen in DN-indeling.
- De Get-ADUser cmdlet krijgt een opgegeven gebruikersobject of voert een zoekopdracht uit om meerdere gebruikersobjecten op te halen.
- De Get-ADGroup cmdlet krijgt een groep of voert een zoekopdracht uit om meerdere groepen uit een Active Directory op te halen.
Stappen voor het bijwerken van het wachtwoord van de externe LDAP-querygebruiker
Als het LDAP-querywachtwoord wordt gewijzigd op externe AD/OpenLDAP, kan het worden bijgewerkt op ACM met dezelfde pop-up "Configure external LDAP".
Dit is een verplichte stap om te voorkomen dat de foutmelding "LDAP password out of sync" wordt weergegeven.
Logboeken
voor probleemoplossingBij het oplossen van LDAP-problemen moeten gebruikers de volgende logboeken op ACM analyseren voor configuratie-, integratie-, validatiefouten:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
We moeten logboeken analyseren op de componenten waarop de LDAP-configuratie is mislukt en het 'server.log' van de ACM.
| Functionaliteit | Locatie van logboek |
ACM/Component producten – LDAP validatie, configuratie, integratie en bewaking |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC) – LDAP-configuratie en verificatie | /var/log/dpc/elg/elg.log |
| Zoeken – LDAP-configuratie en verificatie | /usr/local/search/log/cis/cis.log |
Beschermingssoftware (Avamar) –LDAP-configuratie en verificatie |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Protection Storage (Data Domain) – LDAP-configuratie en verificatie |
/ddr/var/log/debug/messages.engineering |
Reporting & Analytics (DPA) –LDAP-configuratie en verificatie |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Article Properties
Affected Product
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software
Product
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Last Published Date
22 Feb 2023
Version
8
Article Type
How To