PowerProtect DP Series Appliance e IDPA: istruzioni e linee guida per la risoluzione dei problemi relativi all'integrazione di LDAP

• IDPA supporta l'integrazione di LDAP con tutti i prodotti specifici tramite ACM o Appliance Configuration Manager.
• Dopo aver completato l'integrazione di LDAP, un utente dovrebbe essere in grado di accedere a tutti i prodotti specifici IDPA utilizzando l'utente LDAP e le relative credenziali di dominio.
• Nelle versioni 2.6.1 e precedenti, LDAP viene configurato da ACM, ma è impostato solo sui server DPC e Search.
  • Per i componenti DPA, Data Domain (DD) e Avamar, LDAP deve essere configurato manualmente. 
• Nelle versioni 2.7.0 e successive, LDAP è configurato da ACM per tutti i server, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) e Search.

Tipo di configurazione LDAP: esterno e interno

• IDPA configura un server LDAP interno su ACM al momento del deployment per impostazione predefinita. 
• Gli utenti possono scegliere di configurare un server LDAP esterno in base al tipo dopo il deployment. 
• IDPA supporta servizi di directory OPENLDAP e Active Directory per l'integrazione. 

1. Accedere alla pagina dei manuali di PowerProtect DP Series Appliance e IDPA nel supporto Dell.
2. Accedere al portale.
3. Selezionare Manuali e documentazione per trovare le guide dei prodotti PowerProtect DP Series Appliance e IDPA in base alla versione in uso.

• Server Hostname: gli utenti devono fornire il nome di dominio completo, gli indirizzi IP non funzionano.
• Query username: gli utenti devono fornire il nome utente nel formato del nome dell'entità utente (Abc@dominio.com). 
• Admin Group Settings: l'ambito deve essere impostato su "Global" e il tipo deve essere "Security".
• Il nome utente della query deve essere membro del gruppo di amministratori LDAP.
• La procedura consigliata prevede l'utilizzo di lettere minuscole per tutti i valori. 
• Per le configurazioni di LDAP sicure, gli utenti devono fornire il certificato CA radice in formato ".cer".
• Non è consentito un gruppo nidificato. Gli utenti devono essere membri diretti del gruppo di amministratori LDAP. 

NOTA:

Affinché l'integrazione di LDAP funzioni correttamente su Protection Storage (Data Domain), l'utente di query LDAP deve avere autorizzazioni di creazione/rimozione di tipo "Full Control" per l'oggetto computer. 

• Garantire la connettività utilizzando il comando ping.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• Il dominio di ricerca DNS mancante in "/etc/resolv.conf" può causare errori di ping nel nome host del server LDAP. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Requisiti delle porte per l'integrazione LDAP
  • Le porte TCP 389 e 636 devono essere aperte per la comunicazione tra i componenti IDPA e Active Directory/OPENLDAP.
  • Le porte TCP 88 e 464 devono essere aperte per l'autenticazione Kerberos tra Protection Software (Avamar), Protection Storage (DD) e AD/OPENLDAP.
• Come testare la connettività delle porte?
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Risoluzione dei problemi tramite LDAPSEARCH

ldapsearch è uno strumento della riga di comando che apre una connessione a un server LDAP, vi si associa ed esegue una ricerca utilizzando un filtro.

I risultati vengono quindi visualizzati in LDIF (LDAP Data Interchange Format).
 

Lo strumento ldapsearch può essere utilizzato su componenti IDPA come ACM per testare la connessione con il server LDAP e convalidare le impostazioni.

Sintassi

• LDAP non sicuro:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• LDAP sicuro (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Risoluzione dei problemi relativi ai certificati 

Il comando seguente recupera e mostra il certificato dal server LDAP:           

openssl s_client -connect :

Convalida del nome utente della query e del gruppo di ricerca in AD/DC PowerShell per il tipo External Active Directory LDAP

È possibile eseguire query su PowerShell nel server Active Directory per recuperare gli oggetti utente e gruppo in formato DN.

• Il cmdlet Get-ADUser riceve un oggetto utente specificato o esegue una ricerca per ricevere più oggetti utente.
• Il cmdlet Get-ADGroup riceve un gruppo o esegue una ricerca per recuperare più gruppi da Active Directory.

Procedura per aggiornare la password utente della query su LDAP esterno

Se la password utente della query su LDAP viene modificata in External AD/OpenLDAP, può essere aggiornata su ACM utilizzando lo stesso pop-up "Configure external LDAP".
Si tratta di un passaggio obbligatorio per evitare il messaggio di errore "LDAP password out of sync".

Risoluzione dei problemi dei registri

Durante la risoluzione dei problemi di LDAP, gli utenti devono analizzare i seguenti registri su ACM per individuare eventuali errori di configurazione, integrazione e convalida:

- /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

È necessario analizzare i registri sui componenti in cui la configurazione di LDAP non è riuscita e in "server.log" di ACM.

 

Funzionalità	Posizione del registro
Prodotti ACM/componenti: convalida, configurazione, integrazione e monitoraggio di LDAP	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC): configurazione e autenticazione di LDAP	/var/log/dpc/elg/elg.log
Search: configurazione e autenticazione di LDAP	/usr/local/search/log/cis/cis.log
Protection Software (Avamar): configurazione e autenticazione di LDAP	/usr/local/avamar/var/mc/server_log/userauthentication.log
Protection Storage (Data Domain): configurazione e autenticazione di LDAP	/ddr/var/log/debug/messages.engineering
Reporting & Analytics (DPA): configurazione e autenticazione di LDAP	/opt/emc/dpa/services/logs/server.log