Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Устройства PowerProtect DP Series и IDPA. Инструкции и рекомендации по устранению неполадок при интеграции LDAP

Summary: Устройства PowerProtect DP Series и IDPA. Инструкции и рекомендации по устранению неполадок при интеграции LDAP

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Обзор интеграции LDAP на устройствах серии PowerProtect DP и IDPA (Integration Data Protection Appliance)
  • IDPA поддерживает интеграцию LDAP со всеми ключевыми продуктами через ACM, или Appliance Configuration Manager.
  • После успешной интеграции LDAP пользователь должен иметь возможность войти во все ключевые продукты IDPA с помощью пользователя LDAP и его учетных данных домена.
  • В версиях 2.6.1 и ниже LDAP настраивается из ACM, но устанавливается только на DPC и серверах Search.
    • Для компонентов DPA, Data Domain (DD) и Avamar LDAP необходимо настроить вручную. 
  • В версиях 2.7.0 и выше LDAP настраивается из ACM для всех серверов, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) и Search.

Тип конфигурации LDAP: внешняя или внутренняя

  • IDPA устанавливает внутренний сервер LDAP на ACM во время развертывания и интегрирует его по умолчанию. 
  • Пользователи могут настроить внешний LDAP на основе своего типа сервера LDAP после развертывания. 
  • IDPA поддерживает службы каталогов Active Directory и OPENLDAP для интеграции. 

По умолчанию устройство PowerProtect серии DP предварительно настроено на использование внутренней конфигурации LDAP. Однако параметры «Configure external LDAP» позволяют изменить эту конфигурацию по умолчанию на внешнюю конфигурацию LDAP. Параметр «Configure external LDAP» доступен на панели управления ACM, панель «General Settings» в меню значка шестеренки.
Всплывающее окно «Configure external LDAP»

Инструкции по настройке

Инструкции по настройке внешнего LDAP можно найти в руководствах по эксплуатации устройств PowerProtect серии DP и IDPA. 
  1. Перейдите на страницу Руководства по эксплуатации устройств PowerProtect серии DP и IDPA в службе поддержки Dell.
  2. Войдите на портал.
  3. Выберите Руководства и документы, чтобы найти руководства по эксплуатации устройств PowerProtect серии DP и IDPA для вашей версии
ПРИМЕЧАНИЕ.
  • Вы не можете просмотреть существующие параметры LDAP в диалоговом окне «Configure external LDAP».
  • Конфигурация LDAP в IDPA поддерживает как незащищенные, так и защищенные (LDAPS) конфигурации. 

Устранение неполадок при проверке конфигурации LDAP
  • Server Hostname: Пользователи должны указать FQDN, IP-адреса не работают.
  • Query username: Пользователи должны указать имя пользователя в формате «User Principal» (Abc@domain.com). 
  • Admin Group Settings: Для параметра «Scope» должно быть установлено значение «Global», а для параметра «Type» — «Security».
  • «Query username» должен быть членом группы администраторов LDAP.
  • Рекомендуется использовать строчные буквы для всех значений. 
  • Для безопасных конфигураций LDAP пользователи должны предоставить корневой сертификат CA в формате «.cer».
  • Вложенная группа не разрешена. Пользователи должны быть непосредственно членами группы администраторов LDAP. 
ПРИМЕЧАНИЕ.
• Для успешной работы интеграции LDAP на платформе защиты данных (Data Domain) пользователь запроса LDAP должен иметь права «Create/Remove» и «Full Control» для объекта-компьютера. 

AD делегирование управления и создание объекта-компьютера


Поиск и устранение неисправностей подключения
  • Проверьте подключение с помощью команды ping.
    ping -c 4
    acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
    PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
    
  • Домен поиска DNS, отсутствующий в «/etc/resolv.conf», может привести к сбою проверки связи с именем хоста сервера LDAP. 
    acm-4400-xxxx:~ # cat /etc/resolv.conf
    search abc.com
    nameserver 10.xx.xx.xx
    nameserver 10.yy.yy.yy
  
Поиск и устранение неисправностей портов
  • Требования к портам для интеграции LDAP
    • Порты TCP 389 и 636 должны быть открыты для обмена данными между компонентами IDPA и Active Directory/OPENLDAP.
    • Порты TCP 88 и 464 должны быть открыты для аутентификации Kerberos между программным обеспечением для защиты данных (Avamar), платформой защиты данных (DD) и AD/OPENLDAP.
  • Как проверить подключение к порту?
    curl -kv :  
    acm-4400-xxxx:~ # curl -kv abc.test.com:636
    * Rebuilt URL to: abc.test.com:636/
    *   Trying xx.xx.xx.xx...
    * TCP_NODELAY set
    * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
    > GET / HTTP/1.1
    > Host: abc.test.com:636
    > User-Agent: curl/7.60.0
    > Accept: */*

Поиск и устранение неисправностей с помощью LDAPSEARCH

«ldapsearch» — это инструмент командной строки, который открывает подключение к серверу LDAP, привязывается к нему и выполняет поиск с применением фильтра.
Затем результаты отображаются в формате «LDIF» (LDAP Data Interchange Format).
 
Инструмент «ldapsearch» можно применять к таким компонентам IDPA, как ACM, чтобы протестировать соединение с сервером LDAP и проверить настройки.
Синтаксис
  • Незащищенный LDAP:
    ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""
  • Защищенный LDAP (LDAPS):
    ldapsearch -h ldaps://:636 -D "" -W -b ""
 
Поиск и устранение неисправностей сертификатов

Следующая команда позволяет получить сертификат с сервера LDAP и отобразить его:           
openssl s_client -connect :

Проверка имени пользователя запроса и группы поиска в AD/DC PowerShell для внешнего типа LDAP Active Directory

Можно отправить запрос в PowerShell на сервере Active Directory для получения объектов пользователя и группы в формате DN.
  • Командлет «Get-ADUser» получает указанный объект пользователя, или выполняет поиск для получения нескольких объектов пользователя.
  • Командлет «Get-ADGroup» получает группу или выполняет поиск для получения нескольких групп из Active Directory.
фрагмент powershell getad
фрагмент powershell getad для группы

Действия по обновлению пароля пользователя внешнего запроса LDAP

Если пароль пользователя запроса LDAP изменяется во внешнем AD/OpenLDAP, его можно обновить в ACM с помощью того же всплывающего окна «Configure external LDAP».
Это обязательный шаг, чтобы избежать появления сообщения об ошибке «LDAP password out of sync».
Мастер для обновления пароля внешнего пользователя LDAP

Журналы поиска и устранения неисправностей

При устранении проблем LDAP пользователи должны анализировать следующие журналы в ACM на наличие ошибок конфигурации, интеграции и проверки:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Необходимо проанализировать журналы компонентов, в которых произошел сбой конфигурации LDAP, а также «server.log» из ACM.

 
Технические возможности Местоположение журнала

Продукты ACM/Component — проверка LDAP, настройка, интеграция и мониторинг

/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
 
Data Protection Central (DPC) — настройка и аутентификация LDAP /var/log/dpc/elg/elg.log
Search — конфигурация и аутентификация LDAP /usr/local/search/log/cis/cis.log

Программное обеспечение для защиты (Avamar) настройка и аутентификация LDAP

/usr/local/avamar/var/mc/server_log/userauthentication.log

Платформа защиты данных (Data Domain) — настройка и аутентификация LDAP

/ddr/var/log/debug/messages.engineering 

Отчетность и аналитика (DPA) настройка и аутентификация LDAP

/opt/emc/dpa/services/logs/server.log

Additional Information





Affected Products

PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software

Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Article Properties
Article Number: 000202496
Article Type: How To
Last Modified: 22 Feb 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.