Přehled integrace protokolu LDAP v zařízeních PowerProtect řady DP a IDPA (Integration Data Protection Appliance)
- Zařízení IDPA podporuje integraci protokolu LDAP do všech produktů prostřednictvím nástroji ACM neboli Appliance Configuration Manager.
- Po úspěšné integraci protokolu LDAP by se měl uživatel přihlásit ke všem produktům IDPA pomocí uživatele LDAP a jeho přihlašovacích údajů domény.
- Ve verzích 2.6.1 a nižších je protokol LDAP nakonfigurován z nástroje ACM, ale nastaven pouze na serverech DPC a Search.
- U komponent DPA, Data Domain (DD) a Avamar je nutné protokol LDAP nakonfigurovat ručně.
- Ve verzích 2.7.0 a vyšších je protokol LDAP nakonfigurován z nástroje ACM pro všechny servery, systém Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) a Search.
Externí vs. interní typ konfigurace LDAP
- Zařízení IDPA nastaví v době nasazení interní server LDAP v nástroji ACM, který je ve výchozím nastavení integrovaný.
- Uživatelé se mohou po nasazení rozhodnout nakonfigurovat externí protokol LDAP podle typu serveru LDAP.
- Zařízení IDPA podporuje pro integraci adresářové služby službu Active Directory a OPENLDAP.
Ve výchozím nastavení je zařízení PowerProtect řady DP předem nakonfigurováno pro použití interní konfigurace LDAP. Možnost „Configure external LDAP“ nicméně umožňuje změnit tuto výchozí konfiguraci na externí konfiguraci LDAP. Možnost „
Configure external LDAP“ je k dispozici na řídicím panelu ACM v části General Settings v nabídce s ikonou ozubeného kola.
Postup konfigurace
Pokyny k nastavení externího protokolu LDAP naleznete v zařízeních PowerProtect řady DP a v příručkách k produktům IDPA.
- Přejděte na stránku Příručky a návody k zařízení PowerProtect DP a IDPA na webu podpory společnosti Dell.
- Přihlaste se k portálu.
- Výběrem možnost Příručky a dokumenty vyhledejte zařízení PowerProtect řady DP a příručky k produktům IDPA podle vaší verze.
Odstraňování problémů s chybami ověření konfigurace LDAP
- Server Hostname: Uživatelé musí zadat plně kvalifikovaný název domény, IP adresy nefungují.
- Query username: Uživatelé musí poskytnout uživatelské jméno ve formátu hlavního uživatelského jména (Abc@doména.com).
- Admin Group Settings: Rozsah by měl být nastaven na hodnotu „Global“ a typ na hodnotu „Security“.
- Do pole „Query Username“ je nutné zadat člena skupiny správců LDAP.
- Nejlepší je používat pro všechny hodnoty malá písmena.
- U zabezpečených konfigurací LDAP musí uživatelé poskytnout certifikát kořenové certifikační autority ve formátu „.cer“.
- Vnořená skupina není povolena. Uživatelé by měli být přímým členem skupiny správců LDAP.
POZNÁMKA:
Aby integrace LDAP fungovala úspěšně v Protection Storage (Data Domain), uživatel dotazu LDAP musí mít u objektu Computer object oprávnění Create/Remove „Full Control“.
Odstraňování problémů s konektivitou
- Zkontrolujte připojení pomocí příkazu ping.
ping -c 4 acm-4400-xxxx:~ # ping -c 4 dc.amer.lan
PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
- Chybějící doména vyhledávání DNS v souboru „/etc/resolv.conf“ může způsobit selhání příkazu ping pro získání názvu hostitele serveru LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf
search abc.com
nameserver 10.xx.xx.xx
nameserver 10.yy.yy.yy
Odstranění problémů s porty
Odstraňování problémů pomocí příkazu LDAPSEARCH
ldapsearch je nástroj příkazového řádku, který otevře připojení k serveru LDAP, vytvoří s ním vazby a provede vyhledávání pomocí filtru.
Výsledky se poté zobrazí ve formátu LDIF (LDAP Data Interchange Format).
Nástroj ldapsearch lze použít na komponentách IDPA, jako je ACM, k testování připojení k serveru LDAP a ověření nastavení.
Syntax
Odstraňování problémů s certifikáty
Následující příkaz zobrazí certifikát ze serveru LDAP:
openssl s_client -connect :
Ověřování uživatelského jména dotazu a vyhledávací skupiny v prostředí AD/DC PowerShell pro externí typ LDAP služby Active Directory
V prostředí Powershell na serveru Active Directory lze dotazem získat objekty uživatelů a skupin ve formátu DN.
- Pomocí rutiny „Get-ADUser“ můžete získat určitý objekt uživatele nebo provést hledání za účelem získání více objektů uživatele.
- Pomocí rutiny „Get-ADGroup“ můžete získat skupinu nebo provést hledání za účelem získání více skupin z Active Directory.
Postup aktualizace uživatelského hesla dotazu externího protokolu LDAP
Pokud se uživatelské heslo dotazu LDAP změní na externím serveru AD/OpenLDAP, lze jej aktualizovat v nástroji pomocí stejného místního okna „Configure external LDAP“.
To je nutné provést, abyste se vyhnuli chybové zprávě „LDAP password out of sync“.
Odstraňování problémů s protokoly
Při odstraňování problémů s protokolem LDAP musí uživatelé v nástroji ACM analyzovat následující protokoly ohledně konfigurace, integrace, chyb ověření:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Je třeba analyzovat protokoly na komponentách, kde selhala konfigurace LDAP a protokol „server.log“ v nástroji ACM.
Funkce |
Umístění protokolu |
Produkty ACM/komponent – ověření LDAP, konfigurace, integrace a monitorování |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
Data Protection Central (DPC) – Konfigurace a ověřování LDAP |
/var/log/dpc/elg/elg.log |
Vyhledávání – konfigurace a ověřování LDAP |
/usr/local/search/log/cis/cis.log |
Software pro ochranu (Avamar) – Konfigurace a ověřování LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Ochrana úložiště (Data Domain) – Konfigurace a ověřování LDAP |
/ddr/var/log/debug/messages.engineering |
Hlášení a analýza (DPA) – Konfigurace a ověřování LDAP |
/opt/emc/dpa/services/logs/server.log |