PowerProtect DP-seriens enhet och IDPA: Instruktioner och felsökningsriktlinjer för LDAP-integrering

• IDPA stöder integrering av LDAP med alla punktprodukter via ACM eller Appliance Configuration Manager.
• Efter lyckad LDAP-integrering bör en användare kunna logga in på alla IDPA-punktprodukter med LDAP-användaren och deras domäninloggningsuppgifter.
• I version 2.6.1 och tidigare konfigureras LDAP från ACM, men det är bara att konfigurera på DPC- och sökservrar.
  • För DPA-, Data Domain- (DD) och Avamar-komponenter måste LDAP konfigureras manuellt. 
• I version 2.7.0 och senare konfigureras LDAP från ACM för alla servrar, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) och Search.

LDAP-konfigurationstyp extern jämfört med intern

• IDPA konfigurerar en intern LDAPs-server på ACM vid tiden för distributionen och som är integrerad som standard. 
• Användare kan välja att konfigurera externt LDAP baserat på deras LDAP-servertyp efter driftsättningen. 
• IDPA har stöd för Active Directory och OPENLDAP-katalogtjänster för integrering. 

1. Gå till sidan PowerProtect DP-seriens enhet och IDPA-handböcker i Dells support.
2. Logga in på portalen.
3. Välj handböcker och dokument för att hitta PowerProtect DP-seriens enhet och IDPA-produktguider baserat på din version

• Serverns värdnamn: Användare måste tillhandahålla FQDN, IP-adresser fungerar inte.
• Fråga efter användarnamn: Användaren måste ange användarnamn i formatet User Principal name (Abc@domain.com). 
• Inställningar för administratörsgrupp: Omfånget ska vara inställt på "Global", och typen bör vara "Security".
• Fråga efter användarnamn måste vara medlem i LDAP-administratörsgruppen.
• Bästa praxis är att använda gemener för alla värden. 
• För säkra LDAP-konfigurationer måste användarna tillhandahålla rotcertifikatutfärdarcertifikatet i formatet ".cer".
• Kapslad grupp är inte tillåten. Användare bör vara direktmedlemmar i LDAP-administratörsgruppen. 

Obs!

• För att LDAP-integrering ska fungera korrekt på skyddslagring (Data Domain) måste LDAP-frågeanvändaren ha behörigheten Create/Remove "Full Control" för datorobjektet. 

• Kontrollera anslutningen med ping-kommandot.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• DNS-sökdomän saknas i "/etc/resolv.conf" kan orsaka ping-fel på LDAP-serverns värdnamn. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Portkrav för LDAP-integrering
  • TCP-portarna 389 och 636 måste vara öppna för kommunikation mellan IDPA-komponenter och Active Directory/OPENLDAP.
  • TCP-portarna 88 och 464 måste vara öppna för Kerberos-autentisering mellan Protection Software (Avamar), Protection Storage (DD) och AD/OPENLDAP.
• Testa portanslutningen
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Felsökning med LDAPSEARCH

ldapsearch är ett kommandoradsverktyg som öppnar en anslutning till en LDAP-server, bindas till den och gör en sökning med ett filter.

Resultaten visas sedan i LDIF (LDAP Data Interchange Format).
 

Verktyget ldapsearch kan användas på IDPA-komponenter som ACM för att testa anslutningen till LDAP-servern och validera inställningarna.

Syntax

• Oskyddat LDAP:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Säker LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Felsöka certifikat

Följande kommando hämtar och visar certifikatet från LDAP-servern:           

openssl s_client -connect :

Validera query-användarnamn och sökgrupp på AD/DC PowerShell för extern Active Directory LDAP-typ

PowerShell på Active Directory-servern kan efterfrågas för att hämta användar- och gruppobjekt i DN-format.

• Cmdlet-kommandot Get-ADUser hämtar ett angivet användarobjekt eller utför en sökning för att hämta flera användarobjekt.
• Cmdlet-kommandot get-ADGroup hämtar en grupp eller utför en sökning för att hämta flera grupper från en Active Directory.

Steg för att uppdatera det externa användarlösenordet

för LDAP-frågaOm LDAP-fråga användarlösenord ändras på extern AD/OpenLDAP kan den uppdateras på ACM med samma popup-fönster "Configure external LDAP".
Det här är ett obligatoriskt steg för att undvika felmeddelandet "LDAP password out of sync".

Felsökningsloggar

Vid felsökning av LDAP-problem måste användarna analysera följande loggar på ACM för konfiguration, integrering och valideringsfel:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Vi måste analysera loggarna på de komponenter där LDAP-konfigurationen misslyckades och "server.log" från ACM.

 

Funktion	Loggplats
ACM-/komponentprodukter – LDAP-validering, konfiguration, integrering och övervakning	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAP-konfiguration och autentisering	/var/log/dpc/elg/elg.log
Sök – LDAP-konfiguration och autentisering	/usr/local/search/log/cis/cis.log
Skyddsprogramvara (Avamar) –LDAP-konfiguration och autentisering	/usr/local/avamar/var/mc/server_log/userauthentication.log
Skyddslagring (Data Domain) – LDAP-konfiguration och autentisering	/ddr/var/log/debug/messages.engineering
Rapportering och analys (DPA) –LDAP-konfiguration och autentisering	/opt/emc/dpa/services/logs/server.log