PowerProtect DP 系列裝置和 IDPA:LDAP 整合的指示和故障診斷指南
Summary: PowerProtect DP 系列裝置和 IDPA:LDAP 整合的指示和故障診斷指南
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
PowerProtect DP 系列裝置和 Integration Data Protection Appliance (IDPA) LDAP 整合概觀
根據預設,PowerProtect DP 系列裝置會預先設定為使用內部 LDAP 組態。但是,設定外部 LDAP 的選項可讓您將此預設組態變更為外部 LDAP 組態。「設定外部 LDAP」選項位於 ACM 儀表板的「一般設定」面板中,位於齒輪圖示功能表下。
組態步驟
如需設定外部 LDAP 的指示,您可以在 PowerProtect DP 系列裝置和 IDPA 產品指南中找到。
針對 LDAP 組態驗證失敗進行故障診斷
針對連線能力進行故障診斷
針對連接埠進行故障診斷
使用 LDAPSEARCH 進行故障診斷
ldapsearch 是一種命令列工具,可開啟連線並繫結至 LDAP 伺服器,以使用篩選器執行搜尋。
針對憑證進行故障診斷
下列命令會從 LDAP 伺服器取得並顯示憑證:
驗證 AD/DC PowerShell 上用於外部 Active Directory LDAP 類型的查詢使用者名稱和搜尋群組
您可以查詢 Active Directory 伺服器上的 Powershell,以擷取 DN 格式的使用者和群組物件。
更新外部 LDAP 查詢使用者密碼的步驟
如果外部 AD/OpenLDAP 上的 LDAP 查詢使用者密碼變更,則可以在 ACM 上使用相同的「Configure external LDAP」快顯視窗加以更新。
這是避免「LDAP password out of sync」錯誤訊息的必要步驟。
故障診斷記錄
在針對 LDAP 問題進行故障診斷時,使用者必須分析 ACM 上的下列記錄,以瞭解是否有任何組態、整合和驗證上的錯誤:
- IDPA 支援透過 ACM (Appliance Configuration Manager) 將 LDAP 與所有端點產品整合。
- 成功整合 LDAP 後,使用者應能夠使用 LDAP 使用者及其網域登入資料,登入所有 IDPA 端點產品。
- 在 2.6.1 及更新版本上,LDAP 是從 ACM 設定,但僅會設定在 DPC 和搜尋伺服器。
- 若為 DPA、Data Domain (DD) 和 Avamar 元件,必須手動設定 LDAP。
- 在 2.7.0 及更新版本上,LDAP 是從 ACM 為 Data Domain (DD)、Avamar、Data Protection Advisor (DPA)、Data Protection Central (DPC) 和搜尋等所有伺服器設定。
外部與內部的 LDAP 組態類型
- 在部署時,IDPA 會在 ACM 上設定內部的 LDAP 伺服器,且預設為整合。
- 使用者可根據他們的 LDAP 伺服器類型,在部署後選擇設定外部 LDAP。
- IDPA 支援 Active Directory 和 OPENLDAP 目錄服務整合。
根據預設,PowerProtect DP 系列裝置會預先設定為使用內部 LDAP 組態。但是,設定外部 LDAP 的選項可讓您將此預設組態變更為外部 LDAP 組態。「設定外部 LDAP」選項位於 ACM 儀表板的「一般設定」面板中,位於齒輪圖示功能表下。
組態步驟
如需設定外部 LDAP 的指示,您可以在 PowerProtect DP 系列裝置和 IDPA 產品指南中找到。
- 前往 Dell Support 中的 PowerProtect DP 系列裝置和 IDPA 手冊頁面。
- 登入入口網站。
- 根據您的版本選取手冊和說明文件,以找出 PowerProtect DP 系列裝置和 IDPA 產品的指南
注意:
-
您無法從「設定外部 LDAP」對話方塊檢視現有的 LDAP 設定。
-
IDPA 上的 LDAP 組態支援不安全和安全的 (LDAPS) 組態。
針對 LDAP 組態驗證失敗進行故障診斷
- 伺服器主機名稱:使用者必須提供 FQDN,無法使用 IP 位址。
- 查詢使用者名稱:使用者必須以使用者主體名稱格式 (Abc@domain.com) 提供使用者名稱。
- 系統管理員群組設定:範圍應設為「全域」,類型應為「安全」。
- 查詢使用者名稱必須是 LDAP 系統管理員群組的成員。
- 最佳實務是針對所有值使用小寫。
- 對於安全的 LDAP 組態,使用者必須提供「.cer」格式的 root CA 憑證。
- 不允許使用巢狀群組。使用者應是 LDAP 系統管理員群組的直接成員。
注意:
• 若要讓 LDAP 整合在保護儲存裝置 (Data Domain) 上順利運作,LDAP 的查詢使用者必須具備針對電腦物件的建立/移除「完整控制」權限。
針對連線能力進行故障診斷
- 使用 ping 命令確定連線能力。
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - 「/etc/resolv.conf」中的 DNS 搜尋網域遺失,可能會導致 LDAP 伺服器主機名稱的 ping 失敗。
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
針對連接埠進行故障診斷
- LDAP 整合的連接埠需求
- TCP 連接埠 389 和 636 必須開放,以使 IDPA 元件與 Active Directory/OPENLDAP 之間能進行通訊。
- TCP 連接埠 88 和 464 必須開啟,以在保護軟體 (Avamar)、保護儲存裝置 (DD) 和 AD/OPENLDAP 之間進行 Kerberos 驗證。
- 如何測試連接埠的連線能力?
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
使用 LDAPSEARCH 進行故障診斷
ldapsearch 是一種命令列工具,可開啟連線並繫結至 LDAP 伺服器,以使用篩選器執行搜尋。
接著會以 LDIF (LDAP 資料互換格式) 顯示結果。
ldapsearch 工具可用於 ACM 等 IDPA 元件,以測試與 LDAP 伺服器的連線,並驗證設定。
語法
- 不安全的 LDAP:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - 安全 LDAP (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
下列命令會從 LDAP 伺服器取得並顯示憑證:
openssl s_client -connect :
驗證 AD/DC PowerShell 上用於外部 Active Directory LDAP 類型的查詢使用者名稱和搜尋群組
您可以查詢 Active Directory 伺服器上的 Powershell,以擷取 DN 格式的使用者和群組物件。
- 「Get-ADUser cmdlet」會取得指定的使用者物件,或執行搜尋以取得多個使用者物件。
- 「Get-ADGroup cmdlet」會取得群組或執行搜尋,以從 Active Directory 擷取多個群組。
更新外部 LDAP 查詢使用者密碼的步驟
如果外部 AD/OpenLDAP 上的 LDAP 查詢使用者密碼變更,則可以在 ACM 上使用相同的「Configure external LDAP」快顯視窗加以更新。
這是避免「LDAP password out of sync」錯誤訊息的必要步驟。
故障診斷記錄
在針對 LDAP 問題進行故障診斷時,使用者必須分析 ACM 上的下列記錄,以瞭解是否有任何組態、整合和驗證上的錯誤:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
我們必須分析 LDAP 組態失敗的元件記錄,以及 ACM 的「server.log」。
| 功能 | 記錄位置 |
ACM/元件產品 – LDAP 驗證、組態、整合及監控 |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC) – LDAP 組態與驗證 | /var/log/dpc/elg/elg.log |
| 搜尋 – LDAP 組態與驗證 | /usr/local/search/log/cis/cis.log |
保護軟體 (Avamar) – LDAP 組態與驗證 |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
保護儲存裝置 (Data Domain) – LDAP 組態與驗證 |
/ddr/var/log/debug/messages.engineering |
報告與分析 (DPA) – LDAP 組態與驗證 |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000202496
Article Type: How To
Last Modified: 22 Feb 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.