LDAP-integrationsoversigt på PowerProtect DP-seriens enhed og integrations-databeskyttelsesanordning (IDPA)
- IDPA understøtter integration af LDAP med alle punktprodukter via ACM eller Appliance Configuration Manager.
- Efter vellykket LDAP-integration bør en bruger være i stand til at logge på alle IDPA-pointprodukter ved hjælp af LDAP-bruger og deres domænelegitimationsoplysninger.
- På version 2.6.1 og derunder konfigureres LDAP fra ACM, men konfigureres kun på DPC- og søgeservere.
- For DPA-, Data Domain- (DD) og Avamar-komponenter skal LDAP konfigureres manuelt.
- På version 2.7.0 og derover konfigureres LDAP fra ACM til alle servere, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) og Search.
LDAP-konfigurationstype ekstern vs. intern
- IDPA konfigurerer en intern LDAPs-server på ACM på tidspunktet for implementeringen, og den er integreret som standard.
- Brugere kan vælge at konfigurere ekstern LDAP baseret på deres LDAP Server Type efter udrulning.
- IDPA understøtter active directory- og OPENLDAP-katalogtjenester til integration.
Som standard er PowerProtect DP-seriens enhed forudkonfigureret til at bruge intern LDAP-konfiguration. Indstillingerne Configure external LDAP (Konfigurer ekstern LDAP) giver dig imidlertid mulighed for at ændre denne standardkonfiguration til en ekstern LDAP-konfiguration. Indstillingen "
Konfigurer ekstern LDAP" er tilgængelig på ACM-dashboardet under panelet Generelle indstillinger under tandhjulsikonmenuen.
Konfigurationstrin
Du kan finde instruktioner til opsætning af ekstern LDAP i produktvejledninger til PowerProtect DP-serien og i IDPA-produktvejledninger.
- Gå til siden med PowerProtect DP-seriens appliance og IDPA-manualer i Dell Support.
- Log på portalen.
- Vælg manualer og dokumenter for at finde produktvejledninger til PowerProtect DP-serien og IDPA baseret på din version
Fejlfinding af LDAP-konfigurationsvalideringsfejl
- Serverens værtsnavn: Brugere skal angive FQDN, IP-adresser fungerer ikke.
- Forespørg brugernavn: Brugere skal angive brugernavn i formatet User Principal Name (Abc@domain.com).
- Indstillinger for administratorgruppe: Scope skal indstilles til "Global", og typen skal være "Sikkerhed".
- Forespørgselsbrugernavnet skal være medlem af LDAP-administratorgruppen.
- Bedste praksis er at bruge små bogstaver til alle værdier.
- For sikre LDAP-konfigurationer skal brugerne angive rodnøglecentercertifikatet i formatet ".cer".
- Indlejret gruppe er ikke tilladt. Brugere skal være direkte medlem af LDAP-administratorgruppen.
BEMÆRK:
• For at LDAP-integration kan fungere korrekt på Protection Storage (Data Domain), skal LDAP-forespørgselsbrugeren have tilladelsen "Fuld kontrol" til computerobjektet.
Fejlfinding af tilslutningsmuligheder
- Sørg for tilslutningsmuligheder ved hjælp af ping-kommandoen.
ping -c 4 acm-4400-xxxx:~ # ping -c 4 dc.amer.lan
PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
- DNS-søgedomæne mangler i "/etc/resolv.conf" kan forårsage ping-fejl til LDAP-serverens værtsnavn.
acm-4400-xxxx:~ # cat /etc/resolv.conf
search abc.com
nameserver 10.xx.xx.xx
nameserver 10.yy.yy.yy
Fejlfinding på porte
Fejlfinding ved hjælp af LDAPSEARCH
ldapsearch er et kommandolinjeværktøj, der åbner en forbindelse til en LDAP-server, bindes til den og udfører en søgning ved hjælp af et filter.
Resultaterne vises derefter i LDIF (LDAP Data Interchange Format).
ldapsearch-værktøjet kan bruges på IDPA-komponenter som ACM til at teste forbindelsen med LDAP-serveren og validere indstillingerne.
Syntaks
Fejlfinding af certifikater
Følgende kommando henter og viser dig certifikatet fra LDAP-serveren:
openssl s_client -connect :
Validering af forespørgselsbrugernavn og søgegruppe på AD/DC PowerShell til ekstern Active Directory LDAP-type
PowerShell på Active Directory-serveren kan forespørges om at hente bruger- og gruppeobjekter i DN-format.
- Get-ADUser cmdlet henter et bestemt brugerobjekt eller udfører en søgning for at hente flere brugerobjekter.
- Get-ADGroup cmdlet henter en gruppe eller udfører en søgning for at hente flere grupper fra en Active Directory.
Trin til at opdatere ekstern LDAP-forespørgselsbrugeradgangskode
Hvis LDAP forespørger om ændringer af brugeradgangskoden på ekstern AD/OpenLDAP, kan den opdateres på ACM med samme pop op-vindue "Konfigurer ekstern LDAP".
Dette er et obligatorisk trin for at undgå fejlmeddelelsen "LDAP-adgangskode ikke synkroniseret".
Fejlfindingslogfiler
Ved fejlfinding af LDAP-problemer skal brugerne analysere følgende logfiler på ACM for enhver konfiguration, integration, valideringsfejl:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Vi skal analysere logfiler på de komponenter, hvor LDAP-konfigurationen mislykkedes, og "server.log" fra ACM.
Funktionalitet |
Logplacering |
ACM-/komponentprodukter – LDAP-validering, konfiguration, integration og overvågning |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
Data Protection Central (DPC) – LDAP-konfiguration og -godkendelse |
/var/log/dpc/elg/elg.log |
Søg – LDAP-konfiguration og -godkendelse |
/usr/local/search/log/cis/cis.log |
Beskyttelsessoftware (Avamar) –LDAP-konfiguration og -godkendelse |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Protection Storage (Data Domain) – LDAP-konfiguration og -godkendelse |
/ddr/var/log/debug/messages.engineering |
Rapportering &analyse (DPA) –LDAP-konfiguration og -godkendelse |
/opt/emc/dpa/services/logs/server.log |