Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Appliance der PowerProtect DP-Serie und IDPA: Anweisungen und Troubleshooting-Richtlinien für die LDAP-Integration

Summary: Appliance der PowerProtect DP-Serie und IDPA: Anweisungen und Troubleshooting-Richtlinien für die LDAP-Integration

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Übersicht über die LDAP-Integration auf Appliances der PowerProtect DP-Serie und Integration Data Protection Appliances (IDPA)
  • IDPA unterstützt die Integration von LDAP mit allen Punktprodukten über ACM oder Appliance Configuration Manager.
  • Nach der erfolgreichen LDAP-Integration sollte sich ein/e NutzerIn mithilfe des LDAP-Nutzers und den Domänenzugangsdaten bei allen IDPA-Punktprodukten anmelden können.
  • In den Versionen 2.6.1 und niedriger wird LDAP über den ACM konfiguriert, aber nur auf DPC- und Suchservern eingerichtet.
    • Bei DPA-, Data Domain- (DD) und Avamar-Komponenten muss LDAP manuell konfiguriert werden. 
  • Ab Version 2.7.0 wird LDAP im ACM für alle Server, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) und die Suche konfiguriert.

LDAP-Konfigurationstyp: extern vs. intern

  • IDPA richtet zum Zeitpunkt der Bereitstellung einen internen LDAP-Server im ACM ein, der standardmäßig integriert ist. 
  • NutzerInnen können nach der Bereitstellung externes LDAP basierend auf ihrem LDAP-Servertyp konfigurieren. 
  • IDPA unterstützt Active Directory- und OPENLDAP-Verzeichnisdienste für die Integration. 

Standardmäßig ist die Appliance der PowerProtect DP-Serie für die Verwendung der internen LDAP-Konfiguration vorkonfiguriert. Mit den Optionen für die Konfiguration von externem LDAP können Sie diese Standardkonfiguration jedoch in eine externe LDAP-Konfiguration ändern. Die Option „Configure external LDAP“ ist im ACM-Dashboard im Bereich „General Settings“ über das Zahnradmenü verfügbar.
Konfigurieren eines externen LDAP-Pop-ups

Konfigurationsschritte

Anweisungen zum Einrichten von externem LDAP finden Sie in den Produkthandbüchern für die Appliance der PowerProtect DP-Serie und IDPA. 
  1. Navigieren Sie zur Seite Handbücher für Appliance der PowerProtect DP-Serie und IDPA im Bereich Dell Support.
  2. Melden Sie sich beim Portal an.
  3. Wählen Sie Handbücher und Dokumente aus, um die Handbücher der Appliance der  PowerProtect DP-Serie und der IDPA für Ihre Version zu finden.
HINWEIS:
  • Sie können die vorhandenen LDAP-Einstellungen nicht über das Dialogfeld „Configure external LDAP“ anzeigen.
  • Die LDAP-Konfiguration auf IDPA unterstützt sowohl ungesicherte als auch gesicherte (LDAPS-)Konfigurationen. 

Troubleshooting von Fehlern bei der LDAP-Konfigurationsvalidierung
  • Server-Hostname: NutzerInnen müssen den FQDN angeben, IP-Adressen funktionieren nicht.
  • Abfragenutzername: NutzerInnen müssen den Nutzernamen im „User Principal“-Namensformat (Abc@domäne.com) angeben. 
  • Admin-Gruppeneinstellungen: Der Umfang sollte auf „Global“ und der Typ auf „Security“ festgelegt werden.
  • Der Abfragenutzername muss Mitglied der LDAP-Admingruppe sein.
  • Best Practice ist die Verwendung von Kleinbuchstaben für alle Werte. 
  • Für sichere LDAP-Konfigurationen müssen NutzerInnen das CA-Zertifikat im Format „.cer“ bereitstellen.
  • Verschachtelte Gruppen sind nicht zulässig. NutzerInnen sollten ein direktes Mitglied der LDAP-Admingruppe sein. 
HINWEIS:
• Damit die LDAP-Integration erfolgreich auf Datenschutzspeichern (Data Domain) funktioniert, muss der LDAP-Abfragenutzer über die Berechtigung „Full Control“ für „Remove/Create“ für das Computerobjekt verfügen. 

AD-Delegieren der Kontrolle und Erstellen eines Computerobjekts


Troubleshooting der Konnektivität
  • Stellen Sie die Konnektivität mit dem Ping-Befehl sicher.
    ping -c 4
    acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
    PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
    
  • Wenn die DNS-Suchdomäne in „/etc/resolv.conf“ fehlt, kann dies zu einem Ping-Fehler beim Hostnamen des LDAP-Servers führen. 
    acm-4400-xxxx:~ # cat /etc/resolv.conf
    search abc.com
    nameserver 10.xx.xx.xx
    nameserver 10.yy.yy.yy
  
Troubleshooting der Ports
  • Portanforderungen für die LDAP-Integration
    • TCP-Ports 389 und 636 müssen für die Kommunikation zwischen IDPA-Komponenten und Active Directory/OPENLDAP geöffnet sein.
    • Die TCP-Ports 88 und 464 müssen für die Kerberos-Authentifizierung zwischen der Schutzsoftware (Avamar), dem Datenschutzspeicher (DD) und AD/OPENLDAP geöffnet sein.
  • Anleitung zum Testen der Portkonnektivität
    curl -kv :  
    acm-4400-xxxx:~ # curl -kv abc.test.com:636
    * Rebuilt URL to: abc.test.com:636/
    *   Trying xx.xx.xx.xx...
    * TCP_NODELAY set
    * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
    > GET / HTTP/1.1
    > Host: abc.test.com:636
    > User-Agent: curl/7.60.0
    > Accept: */*

Troubleshooting mithilfe von LDAPSEARCH

ldapsearch ist ein Befehlszeilentool, das eine Verbindung zu einem LDAP-Server öffnet, sich an ihn bindet und eine Suche mithilfe eines Filters durchführt.
Die Ergebnisse werden dann im LDIF (LDAP Data Interchange Format) angezeigt.
 
Das ldapsearch-Tool kann auf IDPA-Komponenten wie ACM verwendet werden, um die Verbindung mit dem LDAP-Server zu testen und die Einstellungen zu validieren.
Syntax
  • Ungesichertes LDAP:
    ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""
  • Gesichertes LDAP (LDAPS):
    ldapsearch -h ldaps://:636 -D "" -W -b ""
 
Troubleshooting von Zertifikaten

Mit dem folgenden Befehl wird das Zertifikat vom LDAP-Server abgerufen und angezeigt:           
openssl s_client -connect :

Validieren des Abfragenutzernamens und der Suchgruppe auf AD/DC PowerShell für den externen Active Directory-LDAP-Typ

Auf dem Active Directory-Server kann PowerShell abgefragt werden, um die Nutzer- und Gruppenobjekte im DN-Format abzurufen.
  • Das Cmdlet „Get-ADUser“ ruft ein vorgegebenes Nutzerobjekt ab oder führt eine Suche durch, um mehrere Nutzerobjekte abzurufen.
  • Das Cmdlet „Get-ADGroup“ ruft eine Gruppe ab oder führt eine Suche durch, um mehrere Gruppen aus einem Active Directory abzurufen.
powershell getad snippet
powershell getad snippet for group

Schritte zum Aktualisieren des Abfragenutzerkennworts für externes LDAP

Wenn sich das LDAP-Abfragenutzerkennwort auf dem externen AD/OpenLDAP ändert, kann es im ACM in demselben Pop-up-Fenster „Configure external LDAP“ aktualisiert werden.
Dies ist ein obligatorischer Schritt, um die Fehlermeldung „LDAP password out of sync“ zu vermeiden.
Assistent zum Aktualisieren des externen LDAP-Nutzerkennworts

Troubleshooting-Protokolle

Beim Troubleshooting von LDAP-Problemen müssen NutzerInnen die folgenden Protokolle in ACM auf Konfigurations-, Integrations- und Validierungsfehler überprüfen:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Es müssen Protokolle für die Komponenten analysiert werden, bei denen die LDAP-Konfiguration fehlgeschlagen ist, sowie das server.log aus dem ACM.

 
Funktionalität Protokoll- speicherort

ACM/Komponentenprodukte – LDAP-Validierung, -Konfiguration, -Integration und -Monitoring

/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
 
Data Protection Central (DPC) – LDAP-Konfiguration und -Authentifizierung /var/log/dpc/elg/elg.log
Suche – LDAP-Konfiguration und -Authentifizierung /usr/local/search/log/cis/cis.log

Schutzsoftware (Avamar) LDAP-Konfiguration und -Authentifizierung

/usr/local/avamar/var/mc/server_log/userauthentication.log

Datenschutzspeicher (Data Domain) – LDAP-Konfiguration und -Authentifizierung

/ddr/var/log/debug/messages.engineering 

Reporting und Analysen (DPA) LDAP-Konfiguration und -Authentifizierung

/opt/emc/dpa/services/logs/server.log

Additional Information





Affected Products

PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software

Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Article Properties
Article Number: 000202496
Article Type: How To
Last Modified: 22 Feb 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.