Устройства PowerProtect DP Series и IDPA. Инструкции и рекомендации по устранению неполадок при интеграции LDAP
Summary: Устройства PowerProtect DP Series и IDPA. Инструкции и рекомендации по устранению неполадок при интеграции LDAP
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Обзор интеграции LDAP на устройствах серии PowerProtect DP и IDPA (Integration Data Protection Appliance)
По умолчанию устройство PowerProtect серии DP предварительно настроено на использование внутренней конфигурации LDAP. Однако параметры «Configure external LDAP» позволяют изменить эту конфигурацию по умолчанию на внешнюю конфигурацию LDAP. Параметр «Configure external LDAP» доступен на панели управления ACM, панель «General Settings» в меню значка шестеренки.
Инструкции по настройке
Инструкции по настройке внешнего LDAP можно найти в руководствах по эксплуатации устройств PowerProtect серии DP и IDPA.
Устранение неполадок при проверке конфигурации LDAP
Поиск и устранение неисправностей подключения
Поиск и устранение неисправностей портов
Поиск и устранение неисправностей с помощью LDAPSEARCH
«ldapsearch» — это инструмент командной строки, который открывает подключение к серверу LDAP, привязывается к нему и выполняет поиск с применением фильтра.
Поиск и устранение неисправностей сертификатов
Следующая команда позволяет получить сертификат с сервера LDAP и отобразить его:
Проверка имени пользователя запроса и группы поиска в AD/DC PowerShell для внешнего типа LDAP Active Directory
Можно отправить запрос в PowerShell на сервере Active Directory для получения объектов пользователя и группы в формате DN.
Действия по обновлению пароля пользователя внешнего запроса LDAP
Если пароль пользователя запроса LDAP изменяется во внешнем AD/OpenLDAP, его можно обновить в ACM с помощью того же всплывающего окна «Configure external LDAP».
Это обязательный шаг, чтобы избежать появления сообщения об ошибке «LDAP password out of sync».
Журналы поиска и устранения неисправностей
При устранении проблем LDAP пользователи должны анализировать следующие журналы в ACM на наличие ошибок конфигурации, интеграции и проверки:
- IDPA поддерживает интеграцию LDAP со всеми ключевыми продуктами через ACM, или Appliance Configuration Manager.
- После успешной интеграции LDAP пользователь должен иметь возможность войти во все ключевые продукты IDPA с помощью пользователя LDAP и его учетных данных домена.
- В версиях 2.6.1 и ниже LDAP настраивается из ACM, но устанавливается только на DPC и серверах Search.
- Для компонентов DPA, Data Domain (DD) и Avamar LDAP необходимо настроить вручную.
- В версиях 2.7.0 и выше LDAP настраивается из ACM для всех серверов, Data Domain (DD), Avamar, Data Protection Advisor (DPA), Data Protection Central (DPC) и Search.
Тип конфигурации LDAP: внешняя или внутренняя
- IDPA устанавливает внутренний сервер LDAP на ACM во время развертывания и интегрирует его по умолчанию.
- Пользователи могут настроить внешний LDAP на основе своего типа сервера LDAP после развертывания.
- IDPA поддерживает службы каталогов Active Directory и OPENLDAP для интеграции.
По умолчанию устройство PowerProtect серии DP предварительно настроено на использование внутренней конфигурации LDAP. Однако параметры «Configure external LDAP» позволяют изменить эту конфигурацию по умолчанию на внешнюю конфигурацию LDAP. Параметр «Configure external LDAP» доступен на панели управления ACM, панель «General Settings» в меню значка шестеренки.
Инструкции по настройке
Инструкции по настройке внешнего LDAP можно найти в руководствах по эксплуатации устройств PowerProtect серии DP и IDPA.
- Перейдите на страницу Руководства по эксплуатации устройств PowerProtect серии DP и IDPA в службе поддержки Dell.
- Войдите на портал.
- Выберите Руководства и документы, чтобы найти руководства по эксплуатации устройств PowerProtect серии DP и IDPA для вашей версии
ПРИМЕЧАНИЕ.
-
Вы не можете просмотреть существующие параметры LDAP в диалоговом окне «Configure external LDAP».
-
Конфигурация LDAP в IDPA поддерживает как незащищенные, так и защищенные (LDAPS) конфигурации.
Устранение неполадок при проверке конфигурации LDAP
- Server Hostname: Пользователи должны указать FQDN, IP-адреса не работают.
- Query username: Пользователи должны указать имя пользователя в формате «User Principal» (Abc@domain.com).
- Admin Group Settings: Для параметра «Scope» должно быть установлено значение «Global», а для параметра «Type» — «Security».
- «Query username» должен быть членом группы администраторов LDAP.
- Рекомендуется использовать строчные буквы для всех значений.
- Для безопасных конфигураций LDAP пользователи должны предоставить корневой сертификат CA в формате «.cer».
- Вложенная группа не разрешена. Пользователи должны быть непосредственно членами группы администраторов LDAP.
ПРИМЕЧАНИЕ.
• Для успешной работы интеграции LDAP на платформе защиты данных (Data Domain) пользователь запроса LDAP должен иметь права «Create/Remove» и «Full Control» для объекта-компьютера.
Поиск и устранение неисправностей подключения
- Проверьте подключение с помощью команды ping.
ping -c 4acm-4400-xxxx:~ # ping -c 4 dc.amer.lan PING dc.amer.lan (192.168.7.100) 56(84) bytes of data. 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms 64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms - Домен поиска DNS, отсутствующий в «/etc/resolv.conf», может привести к сбою проверки связи с именем хоста сервера LDAP.
acm-4400-xxxx:~ # cat /etc/resolv.conf search abc.com nameserver 10.xx.xx.xx nameserver 10.yy.yy.yy
Поиск и устранение неисправностей портов
- Требования к портам для интеграции LDAP
- Порты TCP 389 и 636 должны быть открыты для обмена данными между компонентами IDPA и Active Directory/OPENLDAP.
- Порты TCP 88 и 464 должны быть открыты для аутентификации Kerberos между программным обеспечением для защиты данных (Avamar), платформой защиты данных (DD) и AD/OPENLDAP.
- Как проверить подключение к порту?
curl -kv :acm-4400-xxxx:~ # curl -kv abc.test.com:636 * Rebuilt URL to: abc.test.com:636/ * Trying xx.xx.xx.xx... * TCP_NODELAY set * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0) > GET / HTTP/1.1 > Host: abc.test.com:636 > User-Agent: curl/7.60.0 > Accept: */*
Поиск и устранение неисправностей с помощью LDAPSEARCH
«ldapsearch» — это инструмент командной строки, который открывает подключение к серверу LDAP, привязывается к нему и выполняет поиск с применением фильтра.
Затем результаты отображаются в формате «LDIF» (LDAP Data Interchange Format).
Инструмент «ldapsearch» можно применять к таким компонентам IDPA, как ACM, чтобы протестировать соединение с сервером LDAP и проверить настройки.
Синтаксис
- Незащищенный LDAP:
ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w "" - Защищенный LDAP (LDAPS):
ldapsearch -h ldaps://:636 -D "" -W -b ""
Следующая команда позволяет получить сертификат с сервера LDAP и отобразить его:
openssl s_client -connect :
Проверка имени пользователя запроса и группы поиска в AD/DC PowerShell для внешнего типа LDAP Active Directory
Можно отправить запрос в PowerShell на сервере Active Directory для получения объектов пользователя и группы в формате DN.
- Командлет «Get-ADUser» получает указанный объект пользователя, или выполняет поиск для получения нескольких объектов пользователя.
- Командлет «Get-ADGroup» получает группу или выполняет поиск для получения нескольких групп из Active Directory.
Действия по обновлению пароля пользователя внешнего запроса LDAP
Если пароль пользователя запроса LDAP изменяется во внешнем AD/OpenLDAP, его можно обновить в ACM с помощью того же всплывающего окна «Configure external LDAP».
Это обязательный шаг, чтобы избежать появления сообщения об ошибке «LDAP password out of sync».
Журналы поиска и устранения неисправностей
При устранении проблем LDAP пользователи должны анализировать следующие журналы в ACM на наличие ошибок конфигурации, интеграции и проверки:
– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Необходимо проанализировать журналы компонентов, в которых произошел сбой конфигурации LDAP, а также «server.log» из ACM.
| Технические возможности | Местоположение журнала |
Продукты ACM/Component — проверка LDAP, настройка, интеграция и мониторинг |
/usr/local/dataprotection/var/configmgr/server_data/logs/server.log |
| Data Protection Central (DPC) — настройка и аутентификация LDAP | /var/log/dpc/elg/elg.log |
| Search — конфигурация и аутентификация LDAP | /usr/local/search/log/cis/cis.log |
Программное обеспечение для защиты (Avamar) — настройка и аутентификация LDAP |
/usr/local/avamar/var/mc/server_log/userauthentication.log |
Платформа защиты данных (Data Domain) — настройка и аутентификация LDAP |
/ddr/var/log/debug/messages.engineering |
Отчетность и аналитика (DPA) — настройка и аутентификация LDAP |
/opt/emc/dpa/services/logs/server.log |
Additional Information
Affected Products
PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware, Integrated Data Protection Appliance SoftwareProducts
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, Integrated Data Protection Appliance Family, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900Article Properties
Article Number: 000202496
Article Type: How To
Last Modified: 22 Feb 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.