Verktøy og IDPA for PowerProtect DP-serien: Instruksjoner og retningslinjer for feilsøking av LDAP-integrering

• IDPA støtter integrering av LDAP med alle poengprodukter via ACM eller Appliance Configuration Manager.
• Etter en vellykket LDAP-integrering skal en bruker kunne logge på alle IDPA-punktprodukter ved hjelp av LDAP-brukeren og domenelegitimasjonen.
• På versjon 2.6.1 og under er LDAP konfigurert fra ACM, men bare konfigurert på DPC- og søkeservere.
  • For DPA-, Data Domain-komponenter (DD) og Avamar-komponenter må LDAP konfigureres manuelt. 
• På versjon 2.7.0 og nyere er LDAP konfigurert fra ACM for alle servere, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) og Search.

LDAP-konfigurasjonstype ekstern vs. intern

• IDPA konfigurerer en intern LDAP-server på ACM på implementeringstidspunktet, og den er integrert som standard. 
• Brukere kan velge å konfigurere ekstern LDAP basert på LDAP Server Type etter implementering. 
• IDPA støtter Active Directory- og OPENLDAP-katalogtjenester for integrering. 

1. Gå til siden med verktøy og IDPA-håndbøker for PowerProtect DP-serien i Dell Support.
2. Logg på portalen.
3. Velg håndbøker og dokumenter for å finne verktøyet i PowerProtect DP-serien og IDPA-produktveiledninger basert på din versjon

• Vertsnavn for server: Brukere må oppgi FQDN, IP-adresser fungerer ikke.
• Spør brukernavn: Brukere må oppgi brukernavn i brukernavnformatet (Abc@domain.com). 
• Administratorgruppeinnstillinger: Området skal være satt til Global, og typen skal være Security (Sikkerhet).
• Spørringsbrukernavn må være medlem av LDAP-administratorgruppen.
• Beste praksis er å bruke små bokstaver for alle verdier. 
• For sikre LDAP-konfigurasjoner må brukerne oppgi rot-CA-sertifikatet i formatet «.cer».
• Nestet gruppe er ikke tillatt. Brukere bør være et direkte medlem av LDAP-administratorgruppen. 

MERK:

• For at LDAP-integrering skal fungere på Protection Storage (Data Domain), må LDAP-spørringsbrukeren ha tillatelser for å opprette/fjerne «full kontroll» for datamaskinobjektet. 

• Kontroller tilkobling ved hjelp av ping-kommandoen.
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• DNS-søkedomene mangler i "/etc/resolv.conf" kan føre til pingfeil på vertsnavnet til LDAP-serveren. 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• Portkrav for LDAP-integrering
  • TCP-portene 389 og 636 må være åpne for kommunikasjon mellom IDPA-komponenter og Active Directory/OPENLDAP.
  • TCP-portene 88 og 464 må være åpne for Kerberos-godkjenning mellom Protection Software (Avamar), Protection Storage (DD) og AD/OPENLDAP.
• Slik tester du porttilkoblingen.
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

Feilsøking ved hjelp av LDAPSEARCH

ldapsearch er et kommandolinjeverktøy som åpner en tilkobling til en LDAP-server, binder seg til den og utfører et søk ved hjelp av et filter.

Resultatene vises deretter i LDIF (LDAP Data Interchange Format).
 

ldapsearch-verktøyet kan brukes på IDPA-komponenter som ACM for å teste tilkoblingen med LDAP-serveren og validere innstillingene.

Syntaks

• Usikre LDAP:

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• Sikker LDAP (LDAPS):

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

Feilsøke sertifikater

Følgende kommando henter og viser deg sertifikatet fra LDAP-serveren:           

openssl s_client -connect :

Validere brukernavn og søkegruppe for spørring på AD/DC PowerShell for ekstern Active Directory LDAP-type

PowerShell på Active Directory-serveren kan bli spurt om du vil hente bruker- og gruppeobjekter i DN-format.

• Get-ADUser cmdlet henter et angitt brukerobjekt eller utfører et søk for å hente flere brukerobjekter.
• Cmdleten Get-ADGroup får en gruppe eller utfører et søk for å hente flere grupper fra en Active Directory.

Fremgangsmåte for å oppdatere brukerpassord for

ekstern LDAP-spørringHvis LDAP-spørringsbrukerpassordet endres på ekstern AD/OpenLDAP, kan det oppdateres på ACM ved hjelp av samme popup-popup for "Configure external LDAP" (Konfigurer ekstern LDAP).
Dette er et obligatorisk trinn for å unngå feilmeldingen «LDAP password out of sync».

Feilsøke logger

Når de feilsøker LDAP-problemer, må brukerne analysere følgende logger på ACM for konfigurasjon, integrering og valideringsfeil:

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

Vi må analysere logger på komponentene der LDAP-konfigurasjonen mislyktes, og «server.log» fra ACM.

 

Funksjonalitet	Loggplassering
ACM/komponentprodukter – LDAP-validering, konfigurasjon, integrering og overvåking	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) – LDAP-konfigurasjon og -godkjenning	/var/log/dpc/elg/elg.log
Søk – LDAP-konfigurasjon og -godkjenning	/usr/local/search/log/cis/cis.log
Beskyttelsesprogramvare (Avamar) –LDAP-konfigurasjon og -godkjenning	/usr/local/avamar/var/mc/server_log/userauthentication.log
Protection Storage (Data Domain) – LDAP-konfigurasjon og -godkjenning	/ddr/var/log/debug/messages.engineering
Rapportering og analyse (DPA) –LDAP-konfigurasjon og -godkjenning	/opt/emc/dpa/services/logs/server.log