Article Number: 000202496
Urządzenia PowerProtect serii DP i IDPA: Instrukcje i wskazówki dotyczące rozwiązywania problemów z integracją LDAP
Summary: Urządzenia PowerProtect serii DP i IDPA: Instrukcje i wskazówki dotyczące rozwiązywania problemów z integracją LDAP
Article Content
Instructions
Omówienie integracji LDAP na urządzeniu PowerProtect z serii DP i Integration Data Protection Appliance (IDPA)
Domyślnie urządzenie PowerProtect z serii DP jest wstępnie skonfigurowane do korzystania z wewnętrznej konfiguracji LDAP. Opcje konfiguracji zewnętrznego protokołu LDAP umożliwiają jednak zmianę domyślnej konfiguracji na zewnętrzną konfigurację LDAP. Opcja „Configure external LDAP” jest dostępna na pulpicie nawigacyjnym ACM w panelu ustawień ogólnych, w menu z ikoną koła zębatego.
Etapy konfiguracji
Instrukcje dotyczące konfigurowania zewnętrznego protokołu LDAP można znaleźć w podręcznikach urządzeń PowerProtect serii DP i IDPA.
Rozwiązywanie problemów z niepowodzeniem weryfikacji konfiguracji LDAP
Rozwiązywanie problemów z łącznością
Rozwiązywanie problemów z portami
Rozwiązywanie problemów za pomocą LDAPSEARCH
ldapsearch to narzędzie wiersza polecenia, które otwiera połączenie z serwerem LDAP, łączy się z nim i wykonuje wyszukiwanie przy użyciu filtra.
Rozwiązywanie problemów z certyfikatami
Następujące polecenie pobierze i wyświetli certyfikat z serwera LDAP:
Weryfikowanie nazwy użytkownika kwerendy i grupy wyszukiwania w AD/DC PowerShell dla zewnętrznego typu LDAP Active Directory
PowerShell na serwerze Active Directory może uzyskać zapytanie o pobranie obiektów użytkownika i grupy w formacie DN.
Etapy aktualizacji hasła użytkownika kwerendy zewnętrznego protokołu LDAP
Jeśli hasło użytkownika kwerendy LDAP zmieni się na zewnętrznym AD/OpenLDAP, można je zaktualizować w ACM przy użyciu tego samego wyskakującego okienka „Configure external LDAP”.
Jest to obowiązkowy etap w celu uniknięcia komunikatu o błędzie „LDAP password out of sync”.
Rozwiązywanie problemów z dziennikami
Podczas rozwiązywania problemów z LDAP użytkownicy muszą przeanalizować następujące dzienniki w ACM pod kątem dowolnej konfiguracji, integracji i błędów weryfikacji:
- IDPA obsługuje integrację LDAP ze wszystkimi produktami punktowymi za pośrednictwem ACM lub Appliance Configuration Manager.
- Po pomyślnej integracji LDAP użytkownik powinien być w stanie zalogować się do wszystkich produktów punktowych IDPA przy użyciu użytkownika LDAP i jego poświadczeń domeny.
- W wersjach 2.6.1 i starszych protokół LDAP jest skonfigurowany z poziomu ACM, ale tylko na serwerach DPC i Search.
- W przypadku komponentów DPA, Data Domain (DD) i Avamar należy ręcznie skonfigurować protokół LDAP.
- W wersjach 2.7.0 i nowszych protokół LDAP jest skonfigurowany z poziomu ACM dla wszystkich serwerów, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) i Search.
Typy konfiguracji LDAP: zewnętrzna i wewnętrzna
- IDPA konfiguruje wewnętrzny serwer LDAP w ACM w momencie wdrożenia i jest domyślnie zintegrowany.
- Użytkownicy mogą zdecydować się na skonfigurowanie zewnętrznego protokołu LDAP na podstawie typu serwera LDAP po wdrożeniu.
- IDPA obsługuje usługi katalogowe Active Directory i OPENLDAP do celów integracji.
Domyślnie urządzenie PowerProtect z serii DP jest wstępnie skonfigurowane do korzystania z wewnętrznej konfiguracji LDAP. Opcje konfiguracji zewnętrznego protokołu LDAP umożliwiają jednak zmianę domyślnej konfiguracji na zewnętrzną konfigurację LDAP. Opcja „Configure external LDAP” jest dostępna na pulpicie nawigacyjnym ACM w panelu ustawień ogólnych, w menu z ikoną koła zębatego.
Etapy konfiguracji
Instrukcje dotyczące konfigurowania zewnętrznego protokołu LDAP można znaleźć w podręcznikach urządzeń PowerProtect serii DP i IDPA.
- Przejdź do strony z instrukcjami obsługi urządzeń PowerProtect serii DP i IDPA w Dell Support.
- Zaloguj się do portalu.
- Wybierz instrukcje i dokumenty, aby znaleźć podręczniki urządzeń PowerProtect serii DP i IDPA zgodne z posiadaną wersją
UWAGA:
-
nie można wyświetlić bieżących ustawień LDAP w oknie dialogowym konfiguracji zewnętrznego LDAP.
-
Konfiguracja LDAP na IDPA obsługuje zarówno niezabezpieczone, jak i bezpieczne konfiguracje (LDAPS).
Rozwiązywanie problemów z niepowodzeniem weryfikacji konfiguracji LDAP
- Nazwa hosta serwera: Użytkownicy muszą podać nazwę FQDN, a adresy IP nie działają.
- Nazwa użytkownika kwerendy: Użytkownicy muszą podać nazwę użytkownika w formacie głównej nazwy użytkownika (Abc@domain.com).
- Ustawienia grupy administratorów: Zakres powinien być ustawiony na „Global”, a typ: „Security”.
- Nazwa użytkownika kwerendy musi należeć do grupy administratorów LDAP.
- Najlepszą praktyką jest zapisywanie wszelkich wartości małymi literami.
- W przypadku zabezpieczonych konfiguracji LDAP użytkownicy muszą wprowadzić certyfikat CA w formacie .cer.
- Grupa zagnieżdżona jest niedozwolona. Użytkownicy powinni być bezpośrednimi członkiami grupy administratorów LDAP.
UWAGA:
aby integracja LDAP działała pomyślnie w Protection Storage (Data Domain), użytkownik kwerendy LDAP musi mieć uprawnienia „Create/Remove” i „Full Control” dla obiektu komputera.
Rozwiązywanie problemów z łącznością
- Sprawdź łączność przy użyciu polecenia ping.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - Brak domeny wyszukiwania DNS w „/etc/resolv.conf” może spowodować niedotarcie polecenia ping do nazwy hosta serwera LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Rozwiązywanie problemów z portami
- Wymagania dotyczące portów dla integracji LDAP
- Porty TCP 389 i 636 muszą być otwarte do komunikacji między komponentami IDPA a Active Directory/OPENLDAP.
- Porty TCP 88 i 464 muszą być otwarte do uwierzytelniania Kerberos między Protection Software (Avamar), Protection Storage (DD) a AD/OPENLDAP.
- Jak przetestować łączność portu?
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Rozwiązywanie problemów za pomocą LDAPSEARCH
ldapsearch to narzędzie wiersza polecenia, które otwiera połączenie z serwerem LDAP, łączy się z nim i wykonuje wyszukiwanie przy użyciu filtra.
Wyniki są następnie wyświetlane w formacie LDIF (format wymiany danych LDAP).
Narzędzie ldapsearch może być używane w składnikach IDPA, takich jak ACM, do testowania połączenia z serwerem LDAP i weryfikacji ustawień.
Składnia
- Niezabezpieczony protokół LDAP:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - Bezpieczny LDAP (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
Następujące polecenie pobierze i wyświetli certyfikat z serwera LDAP:
openssl s_client -connect :
Weryfikowanie nazwy użytkownika kwerendy i grupy wyszukiwania w AD/DC PowerShell dla zewnętrznego typu LDAP Active Directory
PowerShell na serwerze Active Directory może uzyskać zapytanie o pobranie obiektów użytkownika i grupy w formacie DN.
- Polecenie cmdlet „Get-ADUser” pobiera określony obiekt użytkownika lub wykonuje wyszukiwanie w celu uzyskania wielu obiektów użytkowników.
- Polecenie cmdlet "Get-ADGroup" pobiera grupę lub wykonuje wyszukiwanie w celu pobrania wielu grup z usługi Active Directory.
Etapy aktualizacji hasła użytkownika kwerendy zewnętrznego protokołu LDAP
Jeśli hasło użytkownika kwerendy LDAP zmieni się na zewnętrznym AD/OpenLDAP, można je zaktualizować w ACM przy użyciu tego samego wyskakującego okienka „Configure external LDAP”.
Jest to obowiązkowy etap w celu uniknięcia komunikatu o błędzie „LDAP password out of sync”.
Rozwiązywanie problemów z dziennikami
Podczas rozwiązywania problemów z LDAP użytkownicy muszą przeanalizować następujące dzienniki w ACM pod kątem dowolnej konfiguracji, integracji i błędów weryfikacji:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Musimy przeanalizować dzienniki składników, w których konfiguracja LDAP nie powiodła się, oraz „server.log” z ACM.
| Funkcje | Lokalizacja dziennika |
ACM / produkty komponentów — weryfikacja LDAP, konfiguracja, integracja i monitorowanie |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC) — konfiguracja i uwierzytelnianie LDAP | /var/log/dpc/elg/elg.log |
| Wyszukiwanie — konfiguracja i uwierzytelnianie LDAP | /usr/local/search/log/cis/cis.log |
Protection Software (Avamar) – Konfiguracja i uwierzytelnianie LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Protection Storage (Data Domain) – Konfiguracja i uwierzytelnianie LDAP |
/ddr/var/log/debug/messages.engineering |
Raportowanie i analityka (DPA) – Konfiguracja i uwierzytelnianie LDAP |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Article Properties
Affected Product
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software
Product
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Last Published Date
22 Feb 2023
Version
8
Article Type
How To