LDAP-integratieoverzicht op PowerProtect DP serie Appliance and Integration Data Protection Appliance (IDPA)
- IDPA ondersteunt integratie van LDAP met all-point producten via ACM of Appliance Configuration Manager.
- Na een succesvolle LDAP-integratie moet een gebruiker zich kunnen aanmelden bij alle IDPA-pointproducten met behulp van LDAP-gebruiker en hun domeinreferenties.
- Op versie 2.6.1 en lager is LDAP geconfigureerd vanaf de ACM, maar alleen ingesteld op DPC- en Search-servers.
- Voor DPA,Data Domain (DD) en Avamar componenten moet LDAP handmatig worden geconfigureerd.
- Op versie 2.7.0 en hoger is LDAP geconfigureerd vanuit de ACM voor alle servers, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) en Search.
LDAP-configuratietype extern versus intern
- IDPA stelt op het moment van implementatie een interne LSP-server in op de ACM en die is standaard geïntegreerd.
- Gebruikers kunnen ervoor kiezen om externe LDAP te configureren op basis van hun LDAP Server Type na implementatie.
- IDPA ondersteunt Active Directory- en OPENLDAP-directoryservices voor integratie.
De PowerProtect DP Serie Appliance is standaard vooraf geconfigureerd om de interne LDAP-configuratie te gebruiken. Met de opties Voor externe LDAP configureren kunt u deze standaardconfiguratie echter wijzigen in een externe LDAP-configuratie. De optie "
Configure external LDAP" is beschikbaar op het ACM-dashboard, in het paneel Algemene instellingen, onder het tandwielpictogrammenu.
Configuratiestappen
Instructies voor het instellen van externe LDAP vindt u in de PowerProtect DP serie apparaat- en IDPA-producthandleidingen.
- Ga naar de pagina PowerProtect DP serie Appliance en IDPA handleidingen in Dell Support.
- Meld u aan bij de portal.
- Selecteer de handleidingen en documenten om de PowerProtect DP serie apparaat- en IDPA-producthandleidingen te vinden op basis van uw versie
Ldap-configuratievalidatiefouten oplossen
- Hostnaam server: Gebruikers moeten FQDN opgeven, IP-adressen werken niet.
- Gebruikersnaam opvragen: Gebruikers moeten gebruikersnaam opgeven in user principal name format (Abc@domain.com).
- Instellingen admingroep: Het bereik moet worden ingesteld op 'Global' en het type moet 'Security' zijn.
- De gebruikersnaam van de query moet lid zijn van de LDAP-beheerdersgroep.
- Best practice is om kleine letters te gebruiken voor alle waarden.
- Voor veilige LDAP-configuraties moeten gebruikers het root CA-certificaat in de indeling '.cer' opgeven.
- Geneste groep is niet toegestaan. Gebruikers moeten rechtstreeks lid zijn van de LDAP-beheerdersgroep.
OPMERKING:
• Om LDAP-integratie succesvol te laten werken op Protection Storage (Data Domain), moet de LDAP-querygebruiker machtigingen voor 'Volledig beheer' voor computerobject maken/verwijderen hebben.
Problemen met connectiviteit oplossen
- Zorg voor connectiviteit met behulp van de ping-opdracht.
ping -c 4 acm-4400-xxxx:~ # ping -c 4 dc.amer.lan
PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
- Dns-zoekdomein ontbreekt in "/etc/resolv.conf" kan leiden tot pingfouten in ldap-serverhostnaam.
acm-4400-xxxx:~ # cat /etc/resolv.conf
search abc.com
nameserver 10.xx.xx.xx
nameserver 10.yy.yy.yy
Problemen met poorten oplossen
Probleemoplossing met LDAPSEARCH
ldapsearch is een opdrachtregeltool die een verbinding met een LDAP-server opent, zich er aan verbindt en een zoekopdracht uitvoert met behulp van een filter.
De resultaten worden vervolgens weergegeven in de LDIF (LDAP Data Interchange Format).
ldapsearch-tool kan worden gebruikt op IDPA-componenten zoals ACM om de verbinding met LDAP-server te testen en de instellingen te valideren.
Syntaxis
Certificaten
voor probleemoplossing Met de volgende opdracht wordt het certificaat van de LDAP-server opgehaald en weergegeven:
openssl s_client -connect :
De gebruikersnaam van de query en de zoekgroep op AD/DC PowerShell valideren voor het LDAP-type
van de externe Active DirectoryPowerShell op de Active Directory-server kan worden opgevraagd om de gebruikers- en groepobjecten op te halen in DN-indeling.
- De Get-ADUser cmdlet krijgt een opgegeven gebruikersobject of voert een zoekopdracht uit om meerdere gebruikersobjecten op te halen.
- De Get-ADGroup cmdlet krijgt een groep of voert een zoekopdracht uit om meerdere groepen uit een Active Directory op te halen.
Stappen voor het bijwerken van het wachtwoord van de externe LDAP-querygebruiker
Als het LDAP-querywachtwoord wordt gewijzigd op externe AD/OpenLDAP, kan het worden bijgewerkt op ACM met dezelfde pop-up "Configure external LDAP".
Dit is een verplichte stap om te voorkomen dat de foutmelding "LDAP password out of sync" wordt weergegeven.
Logboeken
voor probleemoplossingBij het oplossen van LDAP-problemen moeten gebruikers de volgende logboeken op ACM analyseren voor configuratie-, integratie-, validatiefouten:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
We moeten logboeken analyseren op de componenten waarop de LDAP-configuratie is mislukt en het 'server.log' van de ACM.
Functionaliteit |
Locatie van logboek |
ACM/Component producten – LDAP validatie, configuratie, integratie en bewaking |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
Data Protection Central (DPC) – LDAP-configuratie en verificatie |
/var/log/dpc/elg/elg.log |
Zoeken – LDAP-configuratie en verificatie |
/usr/local/search/log/cis/cis.log |
Beschermingssoftware (Avamar) –LDAP-configuratie en verificatie |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Protection Storage (Data Domain) – LDAP-configuratie en verificatie |
/ddr/var/log/debug/messages.engineering |
Reporting & Analytics (DPA) –LDAP-configuratie en verificatie |
/opt/emc/dpa/services/logs/server.log |