PowerProtect DP -sarjan laite ja IDPA: LDAP-integroinnin ohjeet ja vianmääritysohjeet

• IDPA tukee LDAP:n integrointia kaikkien pistetuotteiden kanssa ACM:n tai Appliance Configuration Managerin kautta.
• Onnistuneen LDAP-integroinnin jälkeen käyttäjän pitäisi pystyä kirjautumaan kaikkiin IDPA-pistetuotteisiin käyttämällä LDAP-käyttäjää ja toimialueen tunnistetietoja.
• LDAP on määritetty ACM:ssä versiosta 2.6.1 alkaen, mutta ainoastaan DPC- ja hakupalvelimissa.
  • DPA-, Data Domain (DD)- ja Avamar-komponenttien LDAP on määritettävä manuaalisesti. 
• Versiosta 2.7.0 alkaen LDAP on määritetty ACM:n kautta kaikille palvelimille, Data Domainille (DD), Avamarille, Data Protection Advisorille (DPA), Data Protection Centralille (DPC) ja haulle.

LDAP Configuration Type External Vs Internal

• IDPA määrittää ACM:ään käyttöönoton yhteydessä sisäisen LDAPs-palvelimen, joka on oletusarvoisesti integroitu. 
• Käyttäjät voivat määrittää ulkoisen LDAP:n käyttöönoton jälkeisen LDAP-palvelintyypin perusteella. 
• IDPA tukee integrointiin Active Directory- ja OPENLDAP-hakemistopalveluja. 

1. Siirry Dell-tuen PowerProtect DP Series Appliance and IDPA Manuals -sivulle.
2. Kirjaudu sisään portaaliin.
3. Etsi PowerProtect DP -sarjan laite- ja IDPA-tuoteoppaat version mukaan valitsemalla oppaat ja asiakirjat

• Palvelimen isäntänimi: Käyttäjien on annettava FQDN, IP-osoitteet eivät toimi.
• Kysele käyttäjätunnusta: Käyttäjänimen on oltava User Principal -muodossa (Abc@domain.com). 
• Admin Group Settings (Järjestelmänvalvojaryhmän asetukset): Vaikutusalueen on oltava Global (Yleinen) ja tyypin on oltava Security (Suojaus).
• Kyselyn käyttäjätunnuksen on oltava LDAP-järjestelmänvalvojaryhmän jäsen.
• Paras käytäntö on käyttää pieniä kirjaimia kaikissa arvoissa. 
• Suojattuja LDAP-määrityksiä varten käyttäjien on annettava päävarmenne .cer-muodossa.
• Sisäkkäinen ryhmä ei ole sallittu. Käyttäjien on oltava suoraan LDAP-järjestelmänvalvojaryhmän jäseniä. 

HUOMAUTUS:

• Jotta LDAP-integrointi toimii Data Domainin (Protection Storage) kanssa, LDAP-kyselykäyttäjällä on oltava täydet hallintaoikeudet tietokoneobjektille. 

• Varmista yhteys ping-komennolla.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• DNS-haun toimialue puuttuu /etc/resolv.conf-tiedostosta, mikä voi aiheuttaa LDAP-palvelimen isäntänimen ping-virheitä. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• LDAP-integroinnin porttivaatimukset
  • TCP-porttien 389 ja 636 on oltava auki IDPA-osien ja Active Directoryn/OPENLDAP:n välistä tiedonsiirtoa varten.
  • TCP-porttien 88 ja 464 on oltava auki Kerberos-todennusta varten Suojausohjelmiston (Avamar), Protection Storagen (DD) ja AD:n/OPENLDAP:n välillä.
• Porttiliitännän testaaminen
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Vianmääritys LDAPSEARCH-sovelluksella

ldapsearch on komentorivityökalu, joka avaa yhteyden LDAP-palvelimeen, liittyy siihen ja tekee haun suodattimella.

Tulokset näkyvät LDIF (LDAP Data Interchange Format) -muodossa.
 

ldapsearch-työkalulla voi testata yhteyttä LDAP-palvelimeen ja vahvistaa asetukset IDPA-osissa, kuten ACM:ssä.

Syntaksi

• LDAP:n suojaaminen:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Secure LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Varmenteiden

vianmääritysSeuraava komento näyttää varmenteen LDAP-palvelimesta:           

openssl s_client -connect :

AD/DC PowerShellin kyselykäyttäjätunnuksen ja hakuryhmän vahvistaminen ulkoiselle Active Directoryn LDAP-tyypille

Active Directory -palvelimen PowerShelliin voidaan tehdä kysely, jotta käyttäjä- ja ryhmäobjektit voidaan hakea DN-muodossa.

• Get-ADUser-cmdlet hakee määritetyn käyttäjäobjektin tai hakee useita käyttäjäobjekteja.
• Get-ADGroup-cmdlet hakee ryhmän tai hakee useita ryhmiä Active Directorysta.

Ulkoisen LDAP-kyselykäyttäjän salasanan

päivittäminenJos LDAP-kyselyn käyttäjän salasana vaihtuu ulkoisessa AD-/OpenLDAP-käyttöliittymässä, sen voi päivittää ACM:ssä samalla Configure external LDAP -ponnahdusikkunalla.
Tämä on pakollinen toimenpide, jolla voidaan välttää LDAP password out of sync -virheilmoitus.

Lokien

vianmääritysLDAP-ongelmien vianmäärityksen yhteydessä käyttäjien on analysoitava seuraavat ACM-lokit määritys-, integrointi- ja vahvistusvirheiden varalta:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

On analysoitava lokeja osista, joissa LDAP-määritys epäonnistui, ja ACM:n server.log-lokista.

 

Toiminto	Lokin sijainti
ACM-/komponenttituotteet – LDAP:n validointi, konfigurointi, integrointi ja valvonta	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAP-määritys ja -todennus	/var/log/dpc/elg/elg.log
Haku – LDAP-määritys ja todennus	/usr/local/search/log/cis/cis.log
Suojausohjelmisto (Avamar) –LDAP-määritys ja -todennus	/usr/local/avamar/var/mc/server_log/userauthentication.log
Protection Storage (Data Domain) – LDAP-määritys ja todennus	/ddr/var/log/debug/messages.engineering
Reporting & Analytics (DPA) –LDAP-määritys ja -todennus	/opt/emc/dpa/services/logs/server.log