「Data Domain:Active Directoryを使用したLDAPの有効化がエラー「Validation Failed」で失敗する
概要: Active Directoryが有効になっているLightweight Directory Access Protocol (LDAP)がエラーで失敗します。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Data Domainシステムに誤った証明書がインポートされると、Active Directoryが有効になっているLDAPが失敗することがあります。
例:
例:
sysadmin@dd01# authentication ldap show LDAP configuration Enabled: no Base-suffix: dc=lab,dc=example,dc=com Server Type: Active Directory Binddn: administrator@lab.example.com Server(s): 1 # Server - ------------------------ --------- 1 MYADSERV.com.example.com (primary) - ------------------------ --------- Secure LDAP configuration SSL Enabled: yes SSL Method: ldaps tls_reqcert: demand sysadmin@dd01# authentication ldap enable LDAP configuration Enabled: no Base-suffix: dc=lab,dc=example,dc=com Server Type: Active Directory Binddn: administrator@lab.example.com Server(s): 1 # Server - ------------------------ --------- 1 MYADSERV.com.example.com (primary) - ------------------------ --------- Secure LDAP configuration SSL Enabled: yes SSL Method: ldaps tls_reqcert: demand LDAP will be enabled with the above configuration. Do you want to continue? (yes|no) [no]: yes **** Failed to enable: validation failed. Error while performing ldap query. Aug 16 22:07:20 dd01 sms: NOTICE: Run: timeout 60 /bin/ldapsearch -x -H ldaps://MYADSERV.lab.example.com/ -b 'dc=lab,dc=example,dc=lab' -s base -LLL -D 'administrator@lab.example.com' -y /etc/openldap/bindpw_file 2>&1 Aug 16 22:07:20 dd01 sms: NOTICE: Output: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) Aug 16 22:07:20 dd01 sms: NOTICE: ldapsearch error:255 Aug 16 22:07:20 dd01 sms: ERROR: _check_ldap_status: Failed to run ldapsearch query: **** An error occurred while running an internal command. Aug 16 22:07:20 dd01 sms: INFO: _sms_ldap_get_status:1183: LDAP server MYADSERV.lab.example.com has an error: validation failed. Error while performing ldap query. Aug 16 22:07:20 dd01 sms: ERROR: _validate_ldap_status_during_enable:1380: validation failed. Error while performing ldap query. Aug 16 22:07:20 dd01 sms: ERROR: sms_ldap_setup_config_job:2253: **** Failed to enable: validation failed. Error while performing ldap query. Aug 16 22:07:20 dd01 -ddsh: NOTICE: MSG-DDSH-00017: (tty=pts/2, session=15211) sysadmin: command "authentication ldap enable" exited with code: 33 Aug 16 22:07:44 dd01 sms: INFO: Map MG/DG UUID into volume UUID and Name
原因
Active DirectoryとのLDAP統合の場合、システムにはFDQNを含むLDAP証明書が必要です。
sysadmin@dd01# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ------------------- ----------- ----------- ------------------------ ------------------------ ----------------------------------------------------------- dd01.lab.example.com host https Sat Aug 15 09:14:31 2020 Tue Aug 15 16:14:31 2023 D3:B6:F8:B6:3C:91:DA:B8:BB:96:44:38:3F:85:10:BD:A9:23:9E:D9 lab-MYADSERV-CA imported-ca ldap Mon Aug 16 21:51:24 2021 Sun Aug 16 22:01:23 2026 B7:40:A1:FA:7D:19:B6:D0:EB:FF:5D:72:70:64:43:E1:6B:70:5E:75 ------------------- ----------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
AD LDAPはDDMCではサポートされていないことに注意してください。
解決方法
- お客様は、FDQNを使用して 新しいLDAP証明書を生成します 。
- FDQNを使用して新しい証明書をインストールし、LDAPを有効にします。
例:
FDQNを含むLDPA証明書
FDQNを含むLDPA証明書
sysadmin@dd01# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ----------------------- ----------- ----------- ------------------------ ------------------------ ----------------------------------------------------------- dd01.lab.example.com host https Sat Aug 15 09:14:31 2020 Tue Aug 15 16:14:31 2023 D3:B6:F8:B6:3C:91:DA:B8:BB:96:44:38:3F:85:10:BD:A9:23:9E:D9 lab-MYADSERV-CA imported-ca ldap Mon Aug 16 21:51:24 2021 Sun Aug 16 22:01:23 2026 B7:40:A1:FA:7D:19:B6:D0:EB:FF:5D:72:70:64:43:E1:6B:70:5E:75 MYADSERV.lab.example.com imported-ca ldap Mon Aug 16 22:05:09 2021 Sat Aug 16 22:15:08 2031 2F:82:C5:C1:0A:DF:26:A2:97:63:9B:74:3E:AC:D8:39:5E:0E:08:B9 ------------------------ ---------- ----------- ------------------------ ------------------------ ----------------------------------------------------------- sysadmin@dd01# authentication ldap enable LDAP configuration Enabled: no Base-suffix: dc=lab,dc=example,dc=com Server Type: Active Directory Binddn: administrator@lab.example.com Server(s): 1 # Server - ------------------------ --------- 1 MYADSERV.com.example.com (primary) - ------------------------ --------- Secure LDAP configuration SSL Enabled: yes SSL Method: ldaps tls_reqcert: demand LDAP will be enabled with the above configuration. Do you want to continue? (yes|no) [no]: y LDAP is enabled.
その他の情報
ADを使用してユーザーおよびグループのLDAP構成を完了するための要件は次のとおりです。
- ADでData Domainユーザーのグループを構成し、そのグループのGIDを設定します。
- すべてのADユーザーには、UIDとGIDが設定されている必要があります。
Example:
DDの場合:
# authentication ldap groups show
LDAP Group Role ---------- ----- myadmins admin ---------- -----
ADサーバーの場合:
# get-adgroup myadmins -properties * |findstr gidNumber gidNumber : 200 # get-aduser test -properties * |findstr uidNumber uidNumber : 600 #get-aduser test -properties * |findstr gidNumber gidNumber : 200
SSH経由の接続
$ ssh test@ddve EMC Data Domain Virtual Edition Password: Last login: Thu Aug 19 17:25:23 PDT 2021 from xx.xx.xx.xx on gui Welcome to Data Domain OS 7.6.0.5-685135 ---------------------------------------- test@ddve4#
Windows Server 2016(およびそれ以降)バージョンのActive DirectoryユーザーとコンピューターでのIDマッピングの構成:
ドメイン コントローラーで、次の手順を実行します。
- [管理ツール]をクリックします
- Active Directoryユーザーとコンピューター(ADUC)を起動します。
- [表示]メニューから[拡張機能]を有効にします。
- [Users]の下にある特定のユーザー オブジェクトに移動します
- ユーザーオブジェクトを右クリックして、[プロパティ]メニューを開きます。
- アトリビュート エディタ(Attribute Editor)タブに移動します。
- Usersには、uidNumberを指定します。[グループ] に gidNumber を指定します。
対象製品
Data Domain文書のプロパティ
文書番号: 000190700
文書の種類: Solution
最終更新: 20 8月 2025
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。