Article Number: 000202496
Equipamento PowerProtect série DP e IDPA: Instruções e diretrizes de solução de problemas da integração do LDAP
Summary: Equipamento PowerProtect série DP e IDPA: Instruções e diretrizes de solução de problemas da integração do LDAP
Article Content
Instructions
Visão geral da integração do LDAP no equipamento PowerProtect série DP e no Integration Data Protection Appliance (IDPA)
Por padrão, o equipamento PowerProtect série DP vem pré-configurado para usar a configuração de LDAP interno. No entanto, a opção Configure external LDAP permite que você altere essa definição padrão para que seja possível usar uma configuração de LDAP externo. No painel de indicadores do ACM, a opção Configure external LDAP está disponível em General Settings, abaixo do menu com ícone de engrenagem.
Etapas de configuração
As instruções para configurar o LDAP externo podem ser encontradas nos guias de produtos do equipamento PowerProtect série DP e do IDPA.
Solução de problemas em falhas de validação da configuração do LDAP
Solução de problemas de conectividade
Solução de problemas de portas
Solução de problemas usando LDAPSEARCH
O ldapsearch é uma ferramenta de linha de comando que abre uma conexão com um servidor LDAP, se vincula a ele e realiza uma pesquisa usando um filtro.
Solução de problemas de certificados
O seguinte comando obterá e mostrará o certificado do servidor LDAP:
Validando o nome de usuário de consulta e o grupo de pesquisa no PowerShell do AD/DC para o tipo LDAP externo do Active Directory
O PowerShell no servidor do Active Directory pode ser consultado para buscar os objetos de usuário e grupo no formato DN.
Etapas para atualizar a senha do usuário de consulta do LDAP externo
Se a senha do usuário de consulta do LDAP for alterada no AD/OpenLDAP externo, ela poderá ser atualizada no ACM usando a mesma janela pop-up "Configure external LDAP".
Essa é uma etapa obrigatória para evitar a mensagem de erro "LDAP password out of sync".
Logs de solução de problemas
Durante a solução de problemas do LDAP, os usuários precisam analisar os seguintes logs no ACM para verificar quaisquer erros de configuração, integração e validação:
- O IDPA oferece suporte à integração do LDAP com todos os produtos específicos por meio do ACM (Appliance Configuration Manager).
- Após a integração bem-sucedida do LDAP, o usuário deve ser capaz de fazer login em todos os produtos específicos do IDPA com o usuário do LDAP e as credenciais de domínio dele.
- Até a versão 2.6.1, o LDAP é configurado por meio do ACM, mas instalado somente em servidores de pesquisa e DPC.
- No caso de componentes do DPA, Data Domain (DD) e Avamar, o LDAP deve ser configurado manualmente.
- A partir da versão 2.7.0, o LDAP é configurado por meio do ACM em todos os servidores, inclusive de pesquisa, Data Domain (DD), Avamar, Data Protection Advisor (DPA) e Data Protection Central (DPC).
Tipo de configuração do LDAP: externo versus interno
- O IDPA configura um servidor LDAP interno no ACM no momento da implementação, o qual é integrado por padrão.
- Os usuários podem optar por configurar o LDAP externo com base no tipo de servidor LDAP após a implementação.
- O IDPA é compatível com a integração de serviços de diretório Active Directory e OPENLDAP.
Por padrão, o equipamento PowerProtect série DP vem pré-configurado para usar a configuração de LDAP interno. No entanto, a opção Configure external LDAP permite que você altere essa definição padrão para que seja possível usar uma configuração de LDAP externo. No painel de indicadores do ACM, a opção Configure external LDAP está disponível em General Settings, abaixo do menu com ícone de engrenagem.
Etapas de configuração
As instruções para configurar o LDAP externo podem ser encontradas nos guias de produtos do equipamento PowerProtect série DP e do IDPA.
- Acesse a página Manuais do equipamento PowerProtect série DP e do IDPA no Suporte Dell.
- Faça login no portal.
- Selecione Manuais e documentos para encontrar os guias de produtos do equipamento PowerProtect série DP e do IDPA de acordo com a sua versão
Nota:
-
Não é possível visualizar as configurações de LDAP existentes na caixa de diálogo Configure external LDAP.
-
A configuração de LDAP no IDPA é compatível com configurações não seguras e seguras (LDAPS).
Solução de problemas em falhas de validação da configuração do LDAP
- Server Hostname: Os usuários devem fornecer o FQDN. Os endereços IP não funcionam.
- Query username: Os usuários devem fornecer o nome de usuário no formato de nome principal do usuário (Abc@dominio.com).
- Admin Group Settings: O campo Scope deve ser definido como "Global" e o campo Type deve ser definido como "Security".
- O nome de usuário de consulta inserido em Query username deve ser um membro do grupo de administradores do LDAP.
- A prática recomendada é usar letras minúsculas para todos os valores.
- Para configurações seguras de LDAP, os usuários devem fornecer o certificado raiz da CA no formato ".cer".
- Não é permitido usar um grupo aninhado. Os usuários devem ser um membro direto do grupo de administradores do LDAP.
Nota:
• Para que a integração do LDAP funcione com sucesso no armazenamento de proteção (Data Domain), o objeto Computer do usuário de consulta do LDAP deve ter permissões "Full Control" para criação/remoção.
Solução de problemas de conectividade
- Verifique a conectividade usando o comando ping.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - O domínio de pesquisa DNS ausente em "/etc/resolv.conf" pode causar falhas de ping no nome do host do servidor LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Solução de problemas de portas
- Requisitos de porta para integração do LDAP
- As portas TCP 389 e 636 devem estar abertas para comunicação entre os componentes do IDPA e o Active Directory/OPENLDAP.
- As portas TCP 88 e 464 devem estar abertas para a autenticação Kerberos entre o software de proteção (Avamar), o armazenamento de proteção (DD) e o AD/OPENLDAP.
- Como testar a conectividade de portas?
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Solução de problemas usando LDAPSEARCH
O ldapsearch é uma ferramenta de linha de comando que abre uma conexão com um servidor LDAP, se vincula a ele e realiza uma pesquisa usando um filtro.
Em seguida, os resultados são exibidos em LDIF (LDAP Data Interchange Format).
A ferramenta ldapsearch pode ser usada em componentes do IDPA, como o ACM, para testar a conexão com o servidor LDAP e validar as configurações.
Sintaxe
- LDAP não seguro:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - LDAP seguro (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
O seguinte comando obterá e mostrará o certificado do servidor LDAP:
openssl s_client -connect :
Validando o nome de usuário de consulta e o grupo de pesquisa no PowerShell do AD/DC para o tipo LDAP externo do Active Directory
O PowerShell no servidor do Active Directory pode ser consultado para buscar os objetos de usuário e grupo no formato DN.
- O cmdlet Get-ADUser obtém um objeto de usuário especificado ou realiza uma pesquisa para obter vários objetos de usuário.
- O cmdlet Get-ADGroup obtém um grupo ou realiza uma pesquisa para recuperar vários grupos de um Active Directory.
Etapas para atualizar a senha do usuário de consulta do LDAP externo
Se a senha do usuário de consulta do LDAP for alterada no AD/OpenLDAP externo, ela poderá ser atualizada no ACM usando a mesma janela pop-up "Configure external LDAP".
Essa é uma etapa obrigatória para evitar a mensagem de erro "LDAP password out of sync".
Logs de solução de problemas
Durante a solução de problemas do LDAP, os usuários precisam analisar os seguintes logs no ACM para verificar quaisquer erros de configuração, integração e validação:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Precisamos analisar os logs sobre os componentes nos quais a configuração do LDAP falhou e o "server.log" do ACM.
| Funcionalidade | Localização do log |
Produtos do componente/ACM – Validação, configuração, integração e monitoramento do LDAP |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC) – Configuração e autenticação do LDAP | /var/log/dpc/elg/elg.log |
| Pesquisa – Configuração e autenticação do LDAP | /usr/local/search/log/cis/cis.log |
Software de proteção (Avamar) – Configuração e autenticação do LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Armazenamento de proteção (Data Domain) – Configuração e autenticação do LDAP |
/ddr/var/log/debug/messages.engineering |
Geração de relatórios e lógica analítica (DPA) – Configuração e autenticação do LDAP |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Article Properties
Affected Product
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software
Product
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Last Published Date
22 Feb 2023
Version
8
Article Type
How To