PowerProtect серії DP та IDPA: Інструкції та рекомендації з усунення несправностей щодо інтеграції LDAP

• IDPA підтримує інтеграцію LDAP з усіма точковими продуктами через ACM або Appliance Configuration Manager.
• Після успішної інтеграції LDAP користувач повинен мати можливість увійти до всіх продуктів IDPA point, використовуючи користувача LDAP та його облікові дані домену.
• У версіях 2.6.1 і нижче LDAP налаштовується з ACM, але встановлюється тільки на серверах DPC і Search.
  • Для DPA, Data Domain (DD) і компонентів Avamar LDAP потрібно налаштувати вручну. 
• У версіях 2.7.0 і вище LDAP налаштовується з ACM для всіх серверів, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) і Search.

Тип конфігурації LDAP: зовнішній проти внутрішнього

• IDPA встановлює внутрішній сервер LDAPs на ACM під час розгортання, який інтегрований за замовчуванням. 
• Користувачі можуть налаштувати зовнішній LDAP на основі свого типу сервера LDAP після розгортання. 
• IDPA підтримує служби каталогів Active Directory та OPENLDAP для інтеграції. 

1. Перейдіть на сторінку PowerProtect DP Series Appliance і IDPA Manuals в розділі Dell Support.
2. Увійдіть на портал.
3. Виберіть посібники та документи, щоб знайти прилад серії PowerProtect DP та посібники з продукту IDPA на основі вашої версії

• Ім'я хоста сервера: Користувачі повинні надати FQDN, IP-адреси не працюють.
• Ім'я користувача запиту: Користувачі повинні вказати ім'я користувача у форматі імені учасника-користувача (Abc@domain.com). 
• Налаштування групи адміністраторів: Область має бути встановлена на "Глобальна", а тип - на "Безпека".
• Ім'я користувача запиту має бути членом групи адміністратора LDAP.
• Рекомендовано використовувати малі літери для всіх значень. 
• Для безпечних конфігурацій LDAP користувачі повинні надати кореневий сертифікат ЦС у форматі ".cer".
• Вкладена група не допускається. Користувачі мають бути безпосереднім учасником групи адміністраторів LDAP. 

ПРИМІТКА:

• Для успішної інтеграції LDAP для захисту сховища (домену даних) користувач запиту LDAP повинен мати дозволи Створення/видалення "Повний доступ" для об'єкта комп'ютера. 

• Забезпечте підключення за допомогою команди ping.
  пінг -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• Домен пошуку DNS, відсутній у "/etc/resolv.conf", може спричинити збої пінгу до імені хоста сервера LDAP. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Вимоги до портів для інтеграції LDAP
  • Порти TCP 389 і 636 повинні бути відкриті для зв'язку між компонентами IDPA і Active Directory/OPENLDAP.
  • Порти TCP 88 і 464 повинні бути відкриті для автентифікації Kerberos між програмним забезпеченням захисту (Avamar), сховищем захисту (DD) і AD/OPENLDAP.
• Як перевірити підключення портів?
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Усунення несправностей за допомогою LDAPSEARCH

ldapsearch - це інструмент командного рядка, який відкриває з'єднання з сервером LDAP, прив'язується до нього і виконує пошук за допомогою фільтра.

Потім результати відображаються в LDIF (LDAP Data Interchange Format).
 

Інструмент ldapsearch можна використовувати на компонентах IDPA, таких як ACM, для перевірки з'єднання з сервером LDAP та перевірки налаштувань.

Синтаксис

• Незахищений LDAP:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Безпечний LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Виправлення неполадок сертифікатів

Наступна команда отримає та покаже вам сертифікат із сервера LDAP:           

openssl s_client -connect :

Перевірка запиту, імені користувача та групи пошуку в AD/DC PowerShell для зовнішнього типу

LDAP Active DirectoryPowershell на сервері Active Directory можна надіслати запит на отримання об'єктів користувача та групи у форматі DN.

• Командлет Get-ADUser отримує вказаний об'єкт користувача або виконує пошук, щоб отримати кілька об'єктів користувача.
• Командлет Get-ADGroup отримує групу або виконує пошук для отримання кількох груп зі служби Active Directory.

Кроки для оновлення зовнішнього LDAP-запиту

користувачаЯкщо пароль користувача LDAP запиту змінюється на зовнішньому AD/OpenLDAP, його можна оновити на ACM за допомогою того самого спливаючого вікна "Налаштувати зовнішній LDAP".
Це обов'язковий крок, щоб уникнути повідомлення про помилку "Пароль LDAP не синхронізовано".

Виправлення неполадок у журналах

При усуненні проблем з LDAP користувачі повинні проаналізувати наступні журнали в ACM на наявність помилок конфігурації, інтеграції та перевірки:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Ми повинні проаналізувати журнали компонентів, де конфігурація LDAP не вдалася, і "сервер.log" від ACM.

 

Функціональність	Розташування журналу
Продукти ACM / компоненти - перевірка, конфігурація, інтеграція та моніторинг LDAP	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Центр захисту даних (DPC) – конфігурація та автентифікація LDAP	/var/log/dpc/elg/elg.log
Пошук – конфігурація LDAP і аутентифікація	/usr/local/search/log/cis/cis.log
Програмне забезпечення захисту (Avamar) –конфігурація та автентифікація LDAP	/usr/local/avamar/var/mc/server_log/userauthentication.log
Сховище захисту (домен даних) – конфігурація та автентифікація LDAP	/ddr/var/log/debug/messages.engineering
Звітність та аналітика (DPA) –конфігурація та автентифікація LDAP	/opt/emc/dpa/services/logs/server.log