Número del artículo: 000202496
Dispositivo PowerProtect serie DP e IDPA: Instrucciones y pautas de solución de problemas sobre la integración de LDAP
Resumen: Dispositivo PowerProtect serie DP e IDPA: Instrucciones y pautas de solución de problemas sobre la integración de LDAP
Contenido del artículo
Instrucciones
Visión general de la integración de LDAP en PowerProtect DP Series Appliance e Integration Data Protection Appliance (IDPA)
De manera predeterminada, PowerProtect DP Series Appliance está preconfigurado para usar la configuración de LDAP interno. Sin embargo, la opción Configure external LDAP le permite cambiar esta configuración predeterminada a una configuración de LDAP externo. La opción Configure external LDAP está disponible en el panel General Settings del panel de ACM, en el menú del icono de engranaje.
Pasos de configuración
Las instrucciones para configurar un LDAP externo se encuentran en las guías de producto de PowerProtect DP Series Appliance e IDPA.
Solución de problemas de validación de la configuración de LDAP
Solución de problemas de conectividad
Solución de problemas de puertos
Solución de problemas mediante LDAPSEARCH
ldapsearch es una herramienta de línea de comandos que abre una conexión a un servidor LDAP, se vincula a él y realiza una búsqueda mediante un filtro.
Solución de problemas de certificados
El siguiente comando le permite ver el certificado del servidor LDAP:
Validación del nombre de usuario de consulta y el grupo de búsqueda en AD/DC PowerShell para el tipo de LDAP externo de Active Directory
Se puede consultar Powershell en el servidor de Active Directory para obtener los objetos de usuario y grupo en el formato DN.
Pasos para actualizar la contraseña de usuario de consulta del LDAP externo
Si la contraseña de usuario de consulta del LDAP cambia en AD/OpenLDAP externo, se puede actualizar en ACM en la misma ventana emergente Configure external LDAP.
Este es un paso obligatorio para evitar el mensaje de error “LDAP password out of sync”.
Registros de solución de problemas
Cuando solucionen problemas de LDAP, los usuarios deben analizar los siguientes registros en ACM para detectar cualquier error de configuración, integración o validación:
- IDPA soporta la integración de LDAP en todos los productos puntuales a través de ACM o Appliance Configuration Manager.
- Después de la integración correcta de LDAP, el usuario debería poder iniciar sesión en todos los productos puntuales de IDPA con el usuario de LDAP y sus credenciales de dominio.
- En la versión 2.6.1 y versiones anteriores, LDAP se configura en ACM, pero solo en los servidores de Search y DPC.
- En el caso de los componentes de DPA, Data Domain (DD) y Avamar, LDAP se debe configurar manualmente.
- En las versión 2.7.0 y versiones posteriores, LDAP se configura en ACM en todos los servidores, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) y Search.
Tipo de configuración de LDAP: externo frente a interno
- IDPA configura un servidor LDAP interno en ACM en el momento de la implementación y está integrado de manera predeterminada.
- Los usuarios pueden optar por configurar un LDAP externo en función del tipo de servidor LDAP después de la implementación.
- IDPA soporta los servicios de directorio Active Directory y OpenLDAP para la integración.
De manera predeterminada, PowerProtect DP Series Appliance está preconfigurado para usar la configuración de LDAP interno. Sin embargo, la opción Configure external LDAP le permite cambiar esta configuración predeterminada a una configuración de LDAP externo. La opción Configure external LDAP está disponible en el panel General Settings del panel de ACM, en el menú del icono de engranaje.
Pasos de configuración
Las instrucciones para configurar un LDAP externo se encuentran en las guías de producto de PowerProtect DP Series Appliance e IDPA.
- Vaya a la página PowerProtect DP Series Appliance and IDPA Manuals del sitio de soporte de Dell.
- Inicie sesión en el portal.
- Seleccione Manuals and Documents para buscar las guías de producto de PowerProtect DP Series Appliance e IDPA según la versión.
NOTA:
-
En el cuadro de diálogo Configure external LDAP, no se puede ver la configuración de LDAP existente.
-
La configuración de LDAP en IDPA soporta configuraciones no seguras y seguras (LDAPS).
Solución de problemas de validación de la configuración de LDAP
- Nombre de host del servidor: los usuarios deben ingresar el FQDN; las direcciones IP no funcionan.
- Nombre de usuario de consulta: los usuarios deben ingresar el nombre de usuario en el formato de nombre principal de usuario (Abc@domain.com).
- Configuración del grupo de administradores: el alcance se debe configurar en Global y el tipo debe ser Security.
- El nombre de usuario de consulta debe ser miembro del grupo de administradores de LDAP.
- La práctica recomendada es utilizar minúsculas para todos los valores.
- En el caso de las configuraciones de LDAP seguro, los usuarios deben ingresar el certificado de CA raíz en el formato .cer.
- No se permiten grupos anidados. Los usuarios deben ser miembros directos del grupo de administradores de LDAP.
NOTA:
• Para que la integración de LDAP funcione correctamente en el almacenamiento con protección (Data Domain), el usuario de consulta de LDAP debe tener permisos de creación/eliminación de “control total” para el objeto de equipo.
Solución de problemas de conectividad
- Use el comando ping para garantizar la conectividad.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - La falta del dominio de búsqueda de DNS en /etc/resolv.conf puede causar errores de ping en el nombre de host del servidor LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Solución de problemas de puertos
- Requisitos de puertos para la integración de LDAP
- Los puertos TCP 389 y 636 deben estar abiertos para la comunicación entre los componentes de IDPA y Active Directory/OpenLDAP.
- Los puertos TCP 88 y 464 deben estar abiertos para la autenticación de Kerberos entre el software de protección (Avamar), el almacenamiento con protección (DD) y AD/OpenLDAP.
- ¿Cómo se prueba la conectividad de los puertos?
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Solución de problemas mediante LDAPSEARCH
ldapsearch es una herramienta de línea de comandos que abre una conexión a un servidor LDAP, se vincula a él y realiza una búsqueda mediante un filtro.
A continuación, los resultados se muestran en el formato de intercambio de datos de LDAP (LDIF).
La herramienta ldapsearch se puede utilizar en los componentes de IDPA, como ACM, para probar la conexión con el servidor LDAP y validar la configuración.
Sintaxis
- LDAP no seguro:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - LDAP seguro (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
El siguiente comando le permite ver el certificado del servidor LDAP:
openssl s_client -connect :
Validación del nombre de usuario de consulta y el grupo de búsqueda en AD/DC PowerShell para el tipo de LDAP externo de Active Directory
Se puede consultar Powershell en el servidor de Active Directory para obtener los objetos de usuario y grupo en el formato DN.
- El cmdlet Get-ADUser obtiene un objeto de usuario específico o realiza una búsqueda para obtener varios objetos de usuario.
- El cmdlet Get-ADGroup obtiene un grupo o realiza una búsqueda para recuperar varios grupos de Active Directory.
Pasos para actualizar la contraseña de usuario de consulta del LDAP externo
Si la contraseña de usuario de consulta del LDAP cambia en AD/OpenLDAP externo, se puede actualizar en ACM en la misma ventana emergente Configure external LDAP.
Este es un paso obligatorio para evitar el mensaje de error “LDAP password out of sync”.
Registros de solución de problemas
Cuando solucionen problemas de LDAP, los usuarios deben analizar los siguientes registros en ACM para detectar cualquier error de configuración, integración o validación:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Debemos analizar los registros de los componentes en los que falló la configuración de LDAP y el “server.log” en ACM.
| Funcionalidad | Ubicación del registro |
Productos de componente/ACM: validación, configuración, integración y monitoreo de LDAP |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC): configuración y autenticación de LDAP | /var/log/dpc/elg/elg.log |
| Search: configuración y autenticación de LDAP | /usr/local/search/log/cis/cis.log |
Software de protección (Avamar): configuración y autenticación de LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Almacenamiento con protección (Data Domain): configuración y autenticación de LDAP |
/ddr/var/log/debug/messages.engineering |
Generación de informes y análisis (DPA):configuración y autenticación de LDAP |
/opt/emc/dpa/services/logs/server.log |
Información adicional
Propiedades del artículo
Producto comprometido
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software
Producto
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Fecha de la última publicación
22 feb. 2023
Versión
8
Tipo de artículo
How To