PowerProtect DP 系列裝置和 IDPA：LDAP 整合的指示和故障診斷指南

• IDPA 支援透過 ACM (Appliance Configuration Manager) 將 LDAP 與所有端點產品整合。
• 成功整合 LDAP 後，使用者應能夠使用 LDAP 使用者及其網域登入資料，登入所有 IDPA 端點產品。
• 在 2.6.1 及更新版本上，LDAP 是從 ACM 設定，但僅會設定在 DPC 和搜尋伺服器。
  • 若為 DPA、Data Domain (DD) 和 Avamar 元件，必須手動設定 LDAP。 
• 在 2.7.0 及更新版本上，LDAP 是從 ACM 為 Data Domain (DD)、Avamar、Data Protection Advisor (DPA)、Data Protection Central （DPC） 和搜尋等所有伺服器設定。

外部與內部的 LDAP 組態類型

• 在部署時，IDPA 會在 ACM 上設定內部的 LDAP 伺服器，且預設為整合。 
• 使用者可根據他們的 LDAP 伺服器類型，在部署後選擇設定外部 LDAP。 
• IDPA 支援 Active Directory 和 OPENLDAP 目錄服務整合。 

1. 前往 Dell Support 中的 PowerProtect DP 系列裝置和 IDPA 手冊頁面。
2. 登入入口網站。
3. 根據您的版本選取手冊和說明文件，以找出 PowerProtect DP 系列裝置和 IDPA 產品的指南

• 伺服器主機名稱：使用者必須提供 FQDN，無法使用 IP 位址。
• 查詢使用者名稱：使用者必須以使用者主體名稱格式 (Abc@domain.com) 提供使用者名稱。 
• 系統管理員群組設定：範圍應設為「全域」，類型應為「安全」。
• 查詢使用者名稱必須是 LDAP 系統管理員群組的成員。
• 最佳實務是針對所有值使用小寫。 
• 對於安全的 LDAP 組態，使用者必須提供「.cer」格式的 root CA 憑證。
• 不允許使用巢狀群組。使用者應是 LDAP 系統管理員群組的直接成員。 

注意：

• 若要讓 LDAP 整合在保護儲存裝置 (Data Domain) 上順利運作，LDAP 的查詢使用者必須具備針對電腦物件的建立/移除「完整控制」權限。 

• 使用 ping 命令確定連線能力。
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• 「/etc/resolv.conf」中的 DNS 搜尋網域遺失，可能會導致 LDAP 伺服器主機名稱的 ping 失敗。 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• LDAP 整合的連接埠需求
  • TCP 連接埠 389 和 636 必須開放，以使 IDPA 元件與 Active Directory/OPENLDAP 之間能進行通訊。
  • TCP 連接埠 88 和 464 必須開啟，以在保護軟體 (Avamar)、保護儲存裝置 (DD) 和 AD/OPENLDAP 之間進行 Kerberos 驗證。
• 如何測試連接埠的連線能力？
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

使用 LDAPSEARCH 進行故障診斷

ldapsearch 是一種命令列工具，可開啟連線並繫結至 LDAP 伺服器，以使用篩選器執行搜尋。

接著會以 LDIF (LDAP 資料互換格式) 顯示結果。
 

ldapsearch 工具可用於 ACM 等 IDPA 元件，以測試與 LDAP 伺服器的連線，並驗證設定。

語法

• 不安全的 LDAP：

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• 安全 LDAP (LDAPS)：

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

針對憑證進行故障診斷

下列命令會從 LDAP 伺服器取得並顯示憑證：           

openssl s_client -connect :

驗證 AD/DC PowerShell 上用於外部 Active Directory LDAP 類型的查詢使用者名稱和搜尋群組

您可以查詢 Active Directory 伺服器上的 Powershell，以擷取 DN 格式的使用者和群組物件。

• 「Get-ADUser cmdlet」會取得指定的使用者物件，或執行搜尋以取得多個使用者物件。
• 「Get-ADGroup cmdlet」會取得群組或執行搜尋，以從 Active Directory 擷取多個群組。

更新外部 LDAP 查詢使用者密碼的步驟

如果外部 AD/OpenLDAP 上的 LDAP 查詢使用者密碼變更，則可以在 ACM 上使用相同的「Configure external LDAP」快顯視窗加以更新。
這是避免「LDAP password out of sync」錯誤訊息的必要步驟。

故障診斷記錄

在針對 LDAP 問題進行故障診斷時，使用者必須分析 ACM 上的下列記錄，以瞭解是否有任何組態、整合和驗證上的錯誤：

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

我們必須分析 LDAP 組態失敗的元件記錄，以及 ACM 的「server.log」。

 

功能	記錄位置
ACM/元件產品 – LDAP 驗證、組態、整合及監控	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAP 組態與驗證	/var/log/dpc/elg/elg.log
搜尋 – LDAP 組態與驗證	/usr/local/search/log/cis/cis.log
保護軟體 (Avamar) – LDAP 組態與驗證	/usr/local/avamar/var/mc/server_log/userauthentication.log
保護儲存裝置 (Data Domain) – LDAP 組態與驗證	/ddr/var/log/debug/messages.engineering
報告與分析 (DPA) – LDAP 組態與驗證	/opt/emc/dpa/services/logs/server.log