Appliance PowerProtect série DP et IDPA : instructions et conseils de dépannage pour l’intégration LDAP

• IDPA prend en charge l’intégration LDAP avec tous les produits ponctuels via ACM (Appliance Configuration Manager).
• Une fois l’intégration LDAP effectuée, un utilisateur doit être en mesure de se connecter à tous les produits ponctuels IDPA à l’aide de ses informations d’identification d’utilisateur LDAP et de domaine.
• Sur les versions 2.6.1 et inférieures, LDAP est configuré à partir de l’ACM, mais uniquement sur les serveurs DPC et Search.
  • Pour les composants DPA, Data Domain (DD) et Avamar, LDAP doit être configuré manuellement. 
• Sur les versions 2.7.0 et supérieures, LDAP est configuré à partir de l’ACM pour tous les serveurs : Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) et Search.

Type de configuration LDAP : externe ou interne

• IDPA configure un serveur LDAP interne sur l’ACM au moment du déploiement. Ce serveur est intégré par défaut. 
• Les utilisateurs peuvent choisir de configurer un serveur LDAP externe en fonction de leur type de serveur LDAP après le déploiement. 
• IDPA prend en charge les services d’annuaire Active Directory et OPENLDAP pour l’intégration. 

1. Accédez à la page Manuels de l’appliance PowerProtect série DP et d’IDPA dans le support technique Dell.
2. Connectez-vous au portail.
3. Sélectionnez Manuels et documents pour accéder aux guides produit de l’appliance PowerProtect série DP et d’IDPA correspondant à la version que vous utilisez.

• Nom d’hôte du serveur : les utilisateurs doivent renseigner un FQDN (les adresses IP ne fonctionnent pas).
• Nom d’utilisateur de la requête : les utilisateurs doivent indiquer le nom d’utilisateur au format UPN (Abc@domaine.com). 
• Paramètres du groupe d’administrateurs : le périmètre doit être défini sur « Global » et le type sur « Security ».
• Le nom d’utilisateur de requête doit être membre du groupe d’administrateurs LDAP.
• Les bonnes pratiques consistent à utiliser des minuscules pour toutes les valeurs. 
• Pour les configurations LDAP sécurisées, les utilisateurs doivent fournir le certificat CA racine au format « .cer ».
• Les groupes imbriqués ne sont pas autorisés. Les utilisateurs doivent être des membres directs du groupe d’administrateurs LDAP. 

Remarque :

• Pour que l’intégration LDAP fonctionne correctement sur le stockage de protection (Data Domain), l’utilisateur de requête LDAP doit disposer des autorisations de « contrôle total » sur la création/suppression pour l’objet Ordinateur. 

• Utilisez la commande ping suivante pour établir la connectivité.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• Un domaine de recherche DNS manquant dans « /etc/resolv.conf » peut empêcher la commande ping de s’exécuter correctement sur le nom d’hôte du serveur LDAP. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Ports nécessaires pour l’intégration LDAP
  • Les ports TCP 389 et 636 doivent être ouverts pour permettre la communication entre les composants IDPA et Active Directory/OPENLDAP.
  • Les ports TCP 88 et 464 doivent être ouverts pour l’authentification Kerberos entre le logiciel de protection (Avamar), le stockage de protection (DD) et AD/OPENLDAP.
• Comment tester la connectivité des ports ?
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Dépannage à l’aide de LDAPSEARCH

ldapsearch est un outil de ligne de commande qui ouvre une connexion à un serveur LDAP, établit une liaison sur ce serveur et effectue une recherche à l’aide d’un filtre.

Les résultats s’affichent ensuite au format LDIF (LDAP Data Interchange Format).
 

L’outil ldapsearch peut être utilisé sur des composants IDPA comme ACM pour tester la connexion avec le serveur LDAP et valider les paramètres.

Syntaxe

• LDAP non sécurisé :

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• LDAP sécurisé (LDAPS) :

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Résolution des problèmes de certificats 

La commande suivante vous permet d’obtenir et d’afficher le certificat à partir du serveur LDAP :           

openssl s_client -connect :

Validation du nom d’utilisateur de requête et du groupe de recherche sur AD/DC PowerShell pour un serveur LDAP Active Directory

Vous pouvez interroger PowerShell sur le serveur Active Directory pour extraire les objets utilisateur et groupe au format DN.

• La cmdlet Get-ADUser obtient un objet utilisateur spécifié ou effectue une recherche pour obtenir plusieurs objets utilisateur.
• La cmdlet Get-ADGroup obtient un groupe ou effectue une recherche pour récupérer plusieurs groupes à partir d’un serveur Active Directory.

Étapes de mise à jour du mot de passe de l’utilisateur de requête d’un serveur LDAP externe

Si le mot de passe de l’utilisateur de requête LDAP est modifié pour passer sur un serveur AD/OpenLDAP externe, il peut être mis à jour dans l’ACM à l’aide de la même fenêtre contextuelle « Configure external LDAP ».
Cette étape est obligatoire pour éviter le message d’erreur « LDAP password out of sync ».

Dépannage des journaux

Lorsqu’ils tentent de résoudre les problèmes LDAP, les utilisateurs doivent analyser les logs suivants sur l’ACM pour vérifier toute erreur de configuration, d’intégration et de validation éventuelle :

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Il est important d’analyser les logs sur les composants où la configuration LDAP a échoué et de vérifier le fichier « server.log » à partir de l’ACM.

 

Fonctionnalité	Emplacement du journal
Produits ACM/composants : validation, configuration, intégration et surveillance LDAP	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) : configuration et authentification LDAP	/var/log/dpc/elg/elg.log
Recherche : configuration et authentification LDAP	/usr/local/search/log/cis/cis.log
Logiciel de protection (Avamar) : configuration et authentification LDAP	/usr/local/avamar/var/mc/server_log/userauthentication.log
Stockage de protection (Data Domain) : configuration et authentification LDAP	/ddr/var/log/debug/messages.engineering
Création de rapports et analytique (DPA) : configuration et authentification LDAP	/opt/emc/dpa/services/logs/server.log