PowerProtect DP Serisi Cihaza LDAP Entegrasyona ve Veri Koruma Cihazı (IPA) Entegrasyonuna Genel Bakış
- IDPA, Cihaz Yapılandırma Yöneticisi (ACM) aracılığıyla LDAP'yi tüm nokta atışı ürünlerle entegre etme özelliğini destekler.
- Başarılı LDAP entegrasyonundan sonra kullanıcı, LDAP kullanıcısı ve etki alanı kimlik bilgilerini kullanarak tüm IDPA nokta atışı ürünlerde oturum açabilmelidir.
- 2.6.1 ve önceki sürümlerde LDAP, ACM'den yapılandırılmaktadır ancak yalnızca DPC ve Arama sunucularına kurulur.
- DPA, Data Domain (DD) ve Avamar bileşenleri için LDAP manuel olarak yapılandırılmalıdır.
- 2.7.0 ve sonraki sürümlerde LDAP; tüm sunucular, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) ve Arama için ACM'den yapılandırılmaktadır.
LDAP Yapılandırma Türü Harici ve Dahili
- IDPA, dağıtım sırasında ACM üzerinde dahili bir LDAPS sunucusu ayarlar ve bu sunucu varsayılan olarak entegredir.
- Kullanıcılar, dağıtımdan sonra LDAP Sunucu Türüne göre harici LDAP'yi yapılandırmayı tercih edebilir.
- IDPA, entegrasyon için Active Directory ve OPENLDAP dizin hizmetlerini destekler.
Varsayılan olarak PowerProtect DP Serisi Cihaz, dahili LDAP yapılandırmasını kullanmak üzere önceden yapılandırılır. Ancak Configure external LDAP (Harici LDAP'yi yapılandır) seçenekleri, bu varsayılan yapılandırmayı harici bir LDAP yapılandırması olarak değiştirmenizi sağlar. "
Configure external LDAP" (Harici LDAP'yi yapılandır) seçeneği, ACM panosunda, General Settings (Genel Ayarlar) panelinde dişli simgesi menüsünün altında bulunur.
Yapılandırma Adımları
Harici LDAP kurulumu talimatları, PowerProtect DP Serisi cihazda ve IDPA Ürün Rehberleri'nde bulunabilir.
- Dell Desteği'nde PowerProtect DP Serisi Cihaz ve IDPA Kılavuzları sayfasına gidin.
- Portalda oturum açın.
- PowerProtect DP Serisi cihazı ve sürümünüze göre IDPA Ürün Kılavuzlarını bulmak için Kılavuzlar ve Belgeler'i seçin
NOT:
-
Configure external LDAP (Harici LDAP'yi yapılandır) iletişim kutusundan mevcut LDAP ayarlarını görüntüleyemezsiniz.
-
IDPA üzerindeki LDAP yapılandırması hem güvenli olmayan hem güvenli (LDAPS) yapılandırmaları destekler.
LDAP Yapılandırma Doğrulama Hatalarını Giderme
- Server Hostname (Sunucu Ana Bilgisayar Adı): Kullanıcıların FQDN sağlamaları gerekir; IP adresleri çalışmaz.
- Query username (Sorgu kullanıcı adı): Kullanıcıların, Kullanıcı Yöneticisi adı biçiminde (Abc@domain.com) kullanıcı adı sağlamaları gerekir.
- Admin Group Settings (Yönetici Grubu Ayarları): Kapsam "Global" olarak ve tür de "Security" (Güvenlik) olarak ayarlanmalıdır.
- Sorgu kullanıcı adının, LDAP yönetici grubunun bir üyesi olması gerekir.
- En iyi uygulama, tüm değerler için küçük harf kullanmaktır.
- Güvenli LDAP yapılandırmaları için kullanıcıların kök CA sertifikasını ".cer" biçiminde sağlamaları gerekir.
- İç içe gruplara izin verilmez. Kullanıcılar LDAP yönetici grubunun doğrudan üyesi olmalıdır.
NOT:
• LDAP entegrasyonunun Protection Storage (Data Domain) üzerinde başarılı bir şekilde çalışması için LDAP sorgu kullanıcısının Bilgisayar nesnesi için "Create/Remove" (Oluşturma/Kaldırma) ve "Full Control" (Tam Kontrol) izinlerine sahip olması gerekir.
Bağlantı Sorunlarını Giderme
- Ping komutu kullanarak bağlantıdan emin olun.
ping -c 4 acm-4400-xxxx:~ # ping -c 4 dc.amer.lan
PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
- "/etc/resolv.conf" içinde DNS arama etki alanının eksik olması LDAP sunucusu ana bilgisayar adında ping hatalarına neden olabilir.
acm-4400-xxxx:~ # cat /etc/resolv.conf
search abc.com
nameserver 10.xx.xx.xx
nameserver 10.yy.yy.yy
Bağlantı Noktası Sorunlarını Giderme
LDAPSEARCH kullanarak sorun giderme
"ldapsearch", bir LDAP sunucusuna bağlantı açan, ona bağlanan ve bir filtre kullanarak arama yapan bir komut satırı aracıdır.
Sonuçlar daha sonra LDIF'de (LDAP Veri Değişim Biçimi) görüntülenir.
ldapsearch aracı, LDAP sunucusuyla bağlantıyı test etmek ve ayarları doğrulamak için ACM gibi IDPA bileşenleri üzerinde kullanılabilir.
Syntax
Sertifikalarda Sorun Giderme
Aşağıdaki komut, LDAP sunucusunun sertifikasını alarak size gösterir:
openssl s_client -connect :
Harici Active Directory LDAP türü için AD/DC PowerShell'de Sorgu Kullanıcı Adını ve Arama Grubunu Doğrulama
Kullanıcı ve grup nesnelerini DN biçiminde getirmek için Active Directory sunucusundaki Powershell'e sorgu gönderilebilir.
- Get-ADUser cmdlet'i belirli bir kullanıcı nesnesi alır veya birden fazla kullanıcı nesnesi almak için bir arama gerçekleştirir.
- Get-ADGroup cmdlet'i bir grup alır veya Active Directory'den birden fazla grup almak için bir arama gerçekleştirir.
Harici LDAP sorgu kullanıcı parolasını güncelleştirme adımları
LDAP sorgu kullanıcı parolası harici AD/OpenLDAP'de değişirse aynı "Configure external LDAP" (Harici LDAP'yi yapılandır) açılır penceresi kullanılarak ACM'de güncelleştirilebilir.
Bu, "LDAP password out of sync" (LDAP parolası eşitlenmemiş) hata mesajını önlemek için zorunlu bir adımdır.
Günlüklerde Sorun Giderme
LDAP sorunlarını giderme sırasında kullanıcıların yapılandırma, entegrasyon ve doğrulama hataları için ACM'de aşağıdaki günlükleri analiz etmeleri gerekir:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
LDAP yapılandırmasının başarısız olduğu bileşenlerdeki günlükleri ve ACM'den "server.log" günlüğünü analiz etmemiz gerekir.
İşlevler |
Günlük konumu |
ACM/Bileşen ürünleri – LDAP doğrulama, yapılandırma, entegrasyon ve izleme |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
Data Protection Central (DPC) – LDAP yapılandırması ve kimlik doğrulaması |
/var/log/dpc/elg/elg.log |
Arama – LDAP yapılandırması ve kimlik doğrulaması |
/usr/local/search/log/cis/cis.log |
Koruma Yazılımı (Avamar) – LDAP yapılandırması ve kimlik doğrulaması |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Koruma Depolaması (Data Domain) – LDAP yapılandırması ve kimlik doğrulaması |
/ddr/var/log/debug/messages.engineering |
Raporlama ve Analizler (DPA) – LDAP yapılandırması ve kimlik doğrulaması |
/opt/emc/dpa/services/logs/server.log |