Article Number: 000202496
PowerProtect DP Series Appliance e IDPA: istruzioni e linee guida per la risoluzione dei problemi relativi all'integrazione di LDAP
Summary: PowerProtect DP Series Appliance e IDPA: istruzioni e linee guida per la risoluzione dei problemi relativi all'integrazione di LDAP
Article Content
Instructions
Panoramica dell'integrazione di LDAP in PowerProtect DP Series Appliance e Integration Data Protection Appliance (IDPA)
Per impostazione predefinita, PowerProtect DP Series Appliance è preconfigurato per utilizzare il tipo di configurazione di LDAP interno. Tuttavia, le opzioni di Configure external LDAP consentono di modificare questa configurazione predefinita in un tipo di configurazione di LDAP esterno. L'opzione "Configure external LDAP" è disponibile nel dashboard ACM, nel pannello General Settings, sotto il menu con l'icona a forma di ingranaggio.
Procedura di configurazione
Le istruzioni per la configurazione di un server LDAP esterno sono disponibili nelle guide dei prodotti PowerProtect DP Series Appliance e IDPA.
Risoluzione dei problemi di convalida della configurazione di LDAP
Risoluzione dei problemi di connettività
Risoluzione dei problemi delle porte
Risoluzione dei problemi tramite LDAPSEARCH
ldapsearch è uno strumento della riga di comando che apre una connessione a un server LDAP, vi si associa ed esegue una ricerca utilizzando un filtro.
Risoluzione dei problemi relativi ai certificati
Il comando seguente recupera e mostra il certificato dal server LDAP:
Convalida del nome utente della query e del gruppo di ricerca in AD/DC PowerShell per il tipo External Active Directory LDAP
È possibile eseguire query su PowerShell nel server Active Directory per recuperare gli oggetti utente e gruppo in formato DN.
Procedura per aggiornare la password utente della query su LDAP esterno
Se la password utente della query su LDAP viene modificata in External AD/OpenLDAP, può essere aggiornata su ACM utilizzando lo stesso pop-up "Configure external LDAP".
Si tratta di un passaggio obbligatorio per evitare il messaggio di errore "LDAP password out of sync".
Risoluzione dei problemi dei registri
Durante la risoluzione dei problemi di LDAP, gli utenti devono analizzare i seguenti registri su ACM per individuare eventuali errori di configurazione, integrazione e convalida:
- IDPA supporta l'integrazione di LDAP con tutti i prodotti specifici tramite ACM o Appliance Configuration Manager.
- Dopo aver completato l'integrazione di LDAP, un utente dovrebbe essere in grado di accedere a tutti i prodotti specifici IDPA utilizzando l'utente LDAP e le relative credenziali di dominio.
- Nelle versioni 2.6.1 e precedenti, LDAP viene configurato da ACM, ma è impostato solo sui server DPC e Search.
- Per i componenti DPA, Data Domain (DD) e Avamar, LDAP deve essere configurato manualmente.
- Nelle versioni 2.7.0 e successive, LDAP è configurato da ACM per tutti i server, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) e Search.
Tipo di configurazione LDAP: esterno e interno
- IDPA configura un server LDAP interno su ACM al momento del deployment per impostazione predefinita.
- Gli utenti possono scegliere di configurare un server LDAP esterno in base al tipo dopo il deployment.
- IDPA supporta servizi di directory OPENLDAP e Active Directory per l'integrazione.
Per impostazione predefinita, PowerProtect DP Series Appliance è preconfigurato per utilizzare il tipo di configurazione di LDAP interno. Tuttavia, le opzioni di Configure external LDAP consentono di modificare questa configurazione predefinita in un tipo di configurazione di LDAP esterno. L'opzione "Configure external LDAP" è disponibile nel dashboard ACM, nel pannello General Settings, sotto il menu con l'icona a forma di ingranaggio.
Procedura di configurazione
Le istruzioni per la configurazione di un server LDAP esterno sono disponibili nelle guide dei prodotti PowerProtect DP Series Appliance e IDPA.
- Accedere alla pagina dei manuali di PowerProtect DP Series Appliance e IDPA nel supporto Dell.
- Accedere al portale.
- Selezionare Manuali e documentazione per trovare le guide dei prodotti PowerProtect DP Series Appliance e IDPA in base alla versione in uso.
NOTA:
-
Non è possibile visualizzare le impostazioni di LDAP esistenti dalla finestra di dialogo Configure external LDAP.
-
La configurazione di LDAP in IDPA supporta configurazioni non sicure e sicure (LDAPS).
Risoluzione dei problemi di convalida della configurazione di LDAP
- Server Hostname: gli utenti devono fornire il nome di dominio completo, gli indirizzi IP non funzionano.
- Query username: gli utenti devono fornire il nome utente nel formato del nome dell'entità utente (Abc@dominio.com).
- Admin Group Settings: l'ambito deve essere impostato su "Global" e il tipo deve essere "Security".
- Il nome utente della query deve essere membro del gruppo di amministratori LDAP.
- La procedura consigliata prevede l'utilizzo di lettere minuscole per tutti i valori.
- Per le configurazioni di LDAP sicure, gli utenti devono fornire il certificato CA radice in formato ".cer".
- Non è consentito un gruppo nidificato. Gli utenti devono essere membri diretti del gruppo di amministratori LDAP.
NOTA:
Affinché l'integrazione di LDAP funzioni correttamente su Protection Storage (Data Domain), l'utente di query LDAP deve avere autorizzazioni di creazione/rimozione di tipo "Full Control" per l'oggetto computer.
Risoluzione dei problemi di connettività
- Garantire la connettività utilizzando il comando ping.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - Il dominio di ricerca DNS mancante in "/etc/resolv.conf" può causare errori di ping nel nome host del server LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Risoluzione dei problemi delle porte
- Requisiti delle porte per l'integrazione LDAP
- Le porte TCP 389 e 636 devono essere aperte per la comunicazione tra i componenti IDPA e Active Directory/OPENLDAP.
- Le porte TCP 88 e 464 devono essere aperte per l'autenticazione Kerberos tra Protection Software (Avamar), Protection Storage (DD) e AD/OPENLDAP.
- Come testare la connettività delle porte?
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Risoluzione dei problemi tramite LDAPSEARCH
ldapsearch è uno strumento della riga di comando che apre una connessione a un server LDAP, vi si associa ed esegue una ricerca utilizzando un filtro.
I risultati vengono quindi visualizzati in LDIF (LDAP Data Interchange Format).
Lo strumento ldapsearch può essere utilizzato su componenti IDPA come ACM per testare la connessione con il server LDAP e convalidare le impostazioni.
Sintassi
- LDAP non sicuro:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - LDAP sicuro (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
Il comando seguente recupera e mostra il certificato dal server LDAP:
openssl s_client -connect :
Convalida del nome utente della query e del gruppo di ricerca in AD/DC PowerShell per il tipo External Active Directory LDAP
È possibile eseguire query su PowerShell nel server Active Directory per recuperare gli oggetti utente e gruppo in formato DN.
- Il cmdlet Get-ADUser riceve un oggetto utente specificato o esegue una ricerca per ricevere più oggetti utente.
- Il cmdlet Get-ADGroup riceve un gruppo o esegue una ricerca per recuperare più gruppi da Active Directory.
Procedura per aggiornare la password utente della query su LDAP esterno
Se la password utente della query su LDAP viene modificata in External AD/OpenLDAP, può essere aggiornata su ACM utilizzando lo stesso pop-up "Configure external LDAP".
Si tratta di un passaggio obbligatorio per evitare il messaggio di errore "LDAP password out of sync".
Risoluzione dei problemi dei registri
Durante la risoluzione dei problemi di LDAP, gli utenti devono analizzare i seguenti registri su ACM per individuare eventuali errori di configurazione, integrazione e convalida:
- /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
È necessario analizzare i registri sui componenti in cui la configurazione di LDAP non è riuscita e in "server.log" di ACM.
| Funzionalità | Posizione del registro |
Prodotti ACM/componenti: convalida, configurazione, integrazione e monitoraggio di LDAP |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC): configurazione e autenticazione di LDAP | /var/log/dpc/elg/elg.log |
| Search: configurazione e autenticazione di LDAP | /usr/local/search/log/cis/cis.log |
Protection Software (Avamar): configurazione e autenticazione di LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Protection Storage (Data Domain): configurazione e autenticazione di LDAP |
/ddr/var/log/debug/messages.engineering |
Reporting & Analytics (DPA): configurazione e autenticazione di LDAP |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Article Properties
Affected Product
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software
Product
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Last Published Date
22 Feb 2023
Version
8
Article Type
How To