Avamar: LDAP:n määrittäminen, kun AD-palvelimia on useita

Nämä vaiheet vaaditaan LDAP:n määrittämiseen Avamar-ympäristössä, jossa on useita Active Directory (AD) -palvelimia, joista joidenkin palomuuri saattaa olla rajoitettu.

Tämä tila voi ilmetä, kun ldap.properties tai krb5.conf tiedostot täytetään AD-palvelimilla, joissa on tavalliset LDAP- ja Kerberos (KRB) -portit 88, 389 ja 464, jotka ympäristön palomuuri estää.

Tämä edellyttää sellaisten AD-palvelimien valikoivaa hakua, joiden portteja ei ole estetty ympäristössä.

Seuraavissa vaiheissa kerrotaan, miten voit hakea AD-palvelimia ja tunnistaa asiakkaan ympäristössä olevat palvelimet, joissa vaaditut portit ovat avoinna. pikanäppäimellä ldap.properties ja krb5.conf tiedostot on päivitettävä manuaalisesti asianmukaisilla AD-palvelimen tiedoilla.

1. Kirjaudu Avamar Utility Node -sovellukseen ja suorita nslookup Komento asiakkaan toimialueella:

nslookup <customerdomain.com> |grep Address

Esimerkkitulos:

Address: 10.10.10.240#53
Address: 10.10.10.240
Address: 10.10.10.242
Address: 10.10.10.244
Address: 10.10.10.246
Address: 10.10.10.248
Address: 1234:5:678:aaaa:fff:cccc:dddd:eeee

2. Suorita komento uudelleen ja lähetä IPv4-osoitteiden tulos tiedostoon:

nslookup  |grep Address | cut -d " " -f2 |grep -v ":" > /tmp/ldaplookup 

3. Tarkista, että /tmp/ldaplookup sisältää vain IP-osoitteet:

cat /tmp/ldaplookup 

Esimerkkitulos:

10.10.10.240
10.10.10.242
10.10.10.244
10.10.10.246
10.10.10.248

4. Varmista for i silmukka käyttämällä /tmp/ldaplookup tiedosto (luotu yllä), kunnes yhteys LDAP-porttiin 389 on muodostettu:

for i in $(cat /tmp/ldaplookup) ; do timeout 30 telnet $i 389;done 

Tai

for i in $(cat /tmp/ldaplookup); do curl -kv --max-time 30 $i:389;done 

Yleensä, jos porttiin 389 pääsee, myös muut KRB-portit ovat käytettävissä.

Kun yhteys on muodostettu, CTRL-C useita kertoja poistuaksesi silmukasta. Jatka vaihtoehtoisesti luetteloa ja selvitä, mikä on paras toimialueen ohjauskoneen käyttö LDAP:lle.

(Kirjoita muistiin AD-palvelimet, joihin voidaan muodostaa yhteys)

Esimerkkilähtö - telnet:

Trying 10.10.10.240...
Trying 10.10.10.242...
Trying 10.10.10.244...
Connected to 10.10.10.244
Escape character is '^]'
Trying 10.10.10.246...
Trying 10.10.10.248...

Tai

Trying 10.10.10.240...
telnet: connect to address 10.10.10.240: Connection refused
Trying 10.10.10.242...
telnet: connect to address 10.10.10.242: Connection refused
Trying 10.10.10.244...
Connected to 10.10.10.244
Escape character is '^]'
Trying 10.10.10.246...
telnet: connect to address 10.10.10.246: Connection refused
Trying 10.10.10.248...
telnet: connect to address 10.10.10.248: Connection refused

Esimerkkilähtö - käpristyminen:

* Rebuilt URL to: 10.10.10.240:389/
*   Trying 10.10.10.240...
* TCP_NODELAY set
* Connection timed out after 30001 milliseconds
* stopped the pause stream!
* Closing connection 0
curl: (28) Connection timed out after 30001 milliseconds
* Rebuilt URL to: 10.10.10.242:389/
*   Trying 10.10.10.242...
* TCP_NODELAY set
* connect to 10.10.10.242 port 389 failed: Connection refused
* Failed to connect to 10.10.10.242 port 389: Connection refused
* Closing connection 0
curl: (7) Failed to connect to 10.10.10.242 port 389: Connection refused
* Rebuilt URL to: 10.10.10.244:389/
*   Trying 10.10.10.244...
* TCP_NODELAY set
Connected to 10.10.10.244 (10.10.10.244) port 389 (#0)
> GET / HTTP/1.1
> Host: 10.10.10.244:389
> User-Agent: curl/7.60.0
> Accept: */*
* Rebuilt URL to: 10.10.10.246:389/
*   Trying 10.10.10.246...
* TCP_NODELAY set
* connect to 10.10.10.246 port 389 failed: Connection refused
* Failed to connect to 10.10.10.246 port 389: Connection refused
* Closing connection 0
curl: (7) Failed to connect to 10.10.10.246 port 389: Connection refused

5. Korosta nslookup AD-palvelimen täydellisen toimialuenimen (FQDN) määrityskomento:

nslookup 

Esimerkki komennosta ja tuloksesta

nslookup 10.10.10.244

Server:    1.2.3.4
Address: 1.2.3.4:53

Non-authorative answer:
244.10.10.10.in-addr.apra    name=my-ad-server.customername.com

6. Noudata Management Console Server (MCS) -käyttöliittymässä vaiheita 7–15:
7. Kirjaudu Avamar MCS -käyttöliittymään.
8. Siirry kohtaan LDAP-hallinta (hallinta, LDAP-hallinta)
9. Varmista, että asiakkaan toimialuetiedot on jo annettu hakemistopalvelun hallintanäytössä .

10. Klikkaa Muokkaa LDAP-tiedostoa:

11. Vaihda ldap.url.corp.userdomain.com uudella isäntänimellä yllä olevasta hakuvaiheesta.

Esimerkki:

ldap.url.corp.xxxxx.com=ldap\://d001010101.corp.xxx.com\:389

12. Tee sama kohdassa krb5.conf tiedosto. Muutettavat tiedot ovat lähellä pohjaa.

13. Siirry hakemistopalvelujen hallinta -näyttöön ja suorita testi kelvollisilla asiakkaan tunnistetiedoilla.

14. Lisää uusi LDAP-kartta (Hallinta, Käyttäjätietojen hallinta, Uusi LDAP-kartta) ja lisää tarvittava LDAP-ryhmä. Alla oleva esimerkki on Avamar-admins ryhmä.

15. Kun LDAP (AD) -ryhmä on lisätty, testaa sitä kirjautumalla Avamar-käyttöliittymään AD-tilillä, joka on kyseisen LDAP-ryhmän jäsen.