Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

PowerProtect DP Series 어플라이언스 및 IDPA: LDAP 통합에 대한 지침 및 문제 해결 가이드라인

Summary: PowerProtect DP Series 어플라이언스 및 IDPA: LDAP 통합에 대한 지침 및 문제 해결 가이드라인

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

PowerProtect DP Series 어플라이언스 및 IDPA(Integration Data Protection Appliance)에 대한 LDAP 통합 개요
  • IDPA는 ACM 또는 Appliance Configuration Manager를 통해 LDAP를 모든 포인트 제품과 통합할 수 있도록 지원합니다.
  • LDAP 통합이 성공적으로 완료되면 사용자는 LDAP 사용자 및 해당 도메인 자격 증명을 사용하여 모든 IDPA 포인트 제품에 로그인할 수 있어야 합니다.
  • 2.6.1 이하 버전에서는 LDAP가 ACM에서 구성되지만 DPC 및 검색 서버에서만 설정됩니다.
    • DPA, DD(Data Domain) 및 Avamar 구성 요소의 경우 LDAP를 수동으로 구성해야 합니다. 
  • 버전 2.7.0 이상에서는 모든 서버, DD(Data Domain), Avamar, DPA(Data Protection Advisor), DPC(Data Protection Central) 및 검색에 대해 ACM에서 LDAP를 구성합니다.

LDAP 구성 유형 외부 대 내부

  • IDPA는 구축 시 ACM에 내부 LDAPS 서버를 설정하며 기본적으로 통합되어 있습니다. 
  • 사용자는 배포 후 LDAP 서버 유형에 따라 외부 LDAP를 구성하도록 선택할 수 있습니다. 
  • IDPA는 통합을 위해 Active Directory 및 OpenLDAP 디렉토리 서비스를 지원합니다. 

기본적으로 PowerProtect DP Series 어플라이언스는 내부 LDAP 구성을 사용하도록 사전 구성되어 있습니다. 그러나 외부 LDAP 구성 옵션을 사용하면 이 기본 구성을 외부 LDAP 구성으로 변경할 수 있습니다. ACM 대시보드의 일반 설정 패널에 있는 기어 아이콘 메뉴 아래에서 "Configure external LDAP" 옵션을 사용할 수 있습니다.
외부 LDAP 팝업 구성

구성 단계

외부 LDAP 설정 지침은 PowerProtect DP Series 어플라이언스 및 IDPA 제품 가이드에서 찾을 수 있습니다. 
  1. Dell 지원에서 PowerProtect DP Series 어플라이언스 및 IDPA 설명서 페이지로 이동합니다.
  2. 포털에 로그인합니다.
  3. 사용 중인 버전에 따라 PowerProtect DP Series 어플라이언스 및 IDPA 제품 안내서를 찾으려면 설명서 및 문서를 선택하십시오.
참고:
  • 외부 LDAP 구성 대화 상자에서는 기존 LDAP 설정을 볼 수 없습니다.
  • IDPA의 LDAP 구성은 비보안 및 보안(LDAPS) 구성을 모두 지원합니다. 

LDAP 구성 유효성 검사 오류 문제 해결
  • 서버 호스트 이름: 사용자가 작동하지 않는 FQDN, IP 주소를 제공해야 합니다.
  • 쿼리 사용자 이름: 사용자는 사용자 계정 이름 형식(Abc@domain.com)으로 사용자 이름을 제공해야 합니다. 
  • 관리자 그룹 설정: 범위는 'Global'로 설정하고 유형은 'Security'여야 합니다.
  • 쿼리 사용자 이름은 LDAP 관리자 그룹의 구성원이어야 합니다.
  • 모범 사례는 모든 값에 소문자만 사용하는 것입니다. 
  • 보안 LDAP 구성의 경우 사용자는 루트 CA 인증서를 '.cer' 형식으로 제공해야 합니다.
  • 중첩된 그룹은 허용되지 않습니다. 사용자는 LDAP 관리자 그룹의 직접 구성원이어야 합니다. 
참고:
• Protection Storage(Data Domain)에서 LDAP 통합이 제대로 작동하려면 LDAP 쿼리 사용자에게 컴퓨터 객체에 대해 생성/제거하는 "전체 제어" 권한이 있어야 합니다. 

AD Delegate 컨트롤 및 컴퓨터 객체 만들기


연결 문제 해결
  • ping 명령을 사용하여 연결을 확인합니다.
    ping -c 4
    acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
    PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
    64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
    
  • "/etc/resolv.conf"에 DNS 검색 도메인이 누락되면 LDAP 서버 호스트 이름에 대한 ping 오류가 발생할 수 있습니다. 
    acm-4400-xxxx:~ # cat /etc/resolv.conf
    search abc.com
    nameserver 10.xx.xx.xx
    nameserver 10.yy.yy.yy
  
포트 문제 해결
  • LDAP 통합을 위한 포트 요구 사항
    • IDPA 구성 요소와 Active Directory/OpenLDAP 간의 통신을 위해 TCP 포트 389 및 636이 열려 있어야 합니다.
    • Protection Software(Avamar), Protection Storage(DD) 및 AD/OpenLDAP 간의 Kerberos 인증을 위해 TCP 포트 88 및 464가 열려 있어야 합니다.
  • 포트 연결을 테스트하는 방법
    curl -kv :  
    acm-4400-xxxx:~ # curl -kv abc.test.com:636
    * Rebuilt URL to: abc.test.com:636/
    *   Trying xx.xx.xx.xx...
    * TCP_NODELAY set
    * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
    > GET / HTTP/1.1
    > Host: abc.test.com:636
    > User-Agent: curl/7.60.0
    > Accept: */*

LDAPSEARCH를 사용한 문제 해결

ldapsearch는 LDAP 서버에 대한 연결을 열고 서버에 바인딩한 다음 필터를 사용하여 검색을 수행하는 명령줄 툴입니다.
그런 다음 결과가 LDIF(LDAP Data Interchange Format)로 표시됩니다.
 
ACM과 같은 IDPA 구성 요소에서 ldapsearch 툴을 사용하여 LDAP 서버와의 연결을 테스트하고 설정을 검증할 수 있습니다.
구문
  • 비보안 LDAP:
    ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""
  • 보안 LDAP(LDAPS):
    ldapsearch -h ldaps://:636 -D "" -W -b ""
 
인증서 문제 해결

다음 명령을 실행하면 LDAP 서버의 인증서가 표시되고 이 인증서가 표시됩니다.           
openssl s_client -connect :

AD/DC PowerShell에서 외부 Active Directory용 LDAP 유형에 대한 쿼리 사용자 이름 및 검색 그룹 유효성 검사

Active Directory 서버의 PowerShell을 쿼리하여 사용자 및 그룹 객체를 DN 형식으로 가져올 수 있습니다.
  • Get-ADUser cmdlet은 지정된 사용자 객체를 가져오거나 검색을 수행하여 여러 사용자 객체를 가져옵니다.
  • Get-ADGroup cmdlet은 그룹을 가져오거나 검색을 수행하여 Active Directory에서 여러 그룹을 검색합니다.
PowerShell getad 스니펫
그룹에 대한 PowerShell getad 스니펫

외부 LDAP 쿼리 사용자 비밀번호 업데이트 단계

외부 AD/OpenLDAP에서 LDAP 쿼리 사용자 비밀번호가 변경된 경우 동일한 "Configure external LDAP" 팝업을 사용하여 ACM에서 업데이트할 수 있습니다.
이는 "LDAP password out of sync" 오류 메시지를 방지하기 위한 필수 단계입니다.
외부 LDAP 사용자 비밀번호를 업데이트하는 마법사

로그 문제 해결

LDAP 문제를 해결할 때 사용자는 ACM에서 구성, 통합, 검증 오류에 대한 다음 로그를 분석해야 합니다.
- /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
LDAP 구성이 실패한 구성 요소와 ACM의 'server.log'에 대한 로그를 분석해야 합니다.

 
기능 로그 위치

ACM/구성 요소 제품 - LDAP 검증, 구성, 통합 및 모니터링

/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
 
DPC(Data Protection Central) - LDAP 구성 및 인증 /var/log/dpc/elg/elg.log
검색 - LDAP 구성 및 인증 /usr/local/search/log/cis/cis.log

Protection Software(Avamar) - LDAP 구성 및 인증

/usr/local/avamar/var/mc/server_log/userauthentication.log

Protection Storage(Data Domain) - LDAP 구성 및 인증

/ddr/var/log/debug/messages.engineering 

보고 및 분석(DPA) - LDAP 구성 및 인증

/opt/emc/dpa/services/logs/server.log

Additional Information





Affected Products

PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance Software

Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
Article Properties
Article Number: 000202496
Article Type: How To
Last Modified: 22 Feb 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.