PowerProtect DP 系列备份一体机和 IDPA：有关 LDAP 集成的说明和故障处理指导准则

• IDPA 支持通过 ACM (Appliance Configuration Manager) 将 LDAP 与所有点产品集成。
• 成功集成 LDAP 后，用户应能够使用 LDAP 用户及其域凭据登录到所有 IDPA 点产品。
• 在 2.6.1 及更低版本上，LDAP 从 ACM 配置，但仅在 DPC 和 Search 服务器上设置。
  • 对于 DPA、Data Domain (DD) 和 Avamar 组件，必须手动配置 LDAP。 
• 在 2.7.0 及更高版本上，LDAP 从 ACM 为所有服务器、Data Domain (DD)、Avamar、Data Protection Advisor (DPA)、Data Protection Central (DPC) 和 Search 配置。

外部与内部 LDAP 配置类型

• IDPA 在部署时在 ACM 上设置内部 LDAP 服务器，该服务器默认集成。 
• 用户可以选择在部署后根据其 LDAP 服务器类型配置外部 LDAP。 
• IDPA 支持将 Active Directory 和 OPENLDAP 目录服务用于集成。 

1. 转至戴尔支持中的 PowerProtect DP 系列备份一体机和 IDPA 手册页面。
2. 登录到该门户。
3. 选择 Manuals and Documents，以根据您的版本查找 PowerProtect DP 系列备份一体机和 IDPA 产品指南

• 服务器主机名：用户必须提供 FQDN，IP 地址不起作用。
• 查询用户名：用户必须以用户主体名称格式 (Abc@domain.com) 提供用户名。 
• 管理员组设置：范围应设置为“Global”，类型应为“Security”。
• 查询用户名必须是 LDAP 管理员组的成员。
• 最佳实践是对于所有值均使用小写字母。 
• 对于安全 LDAP 配置，用户必须以“.cer”格式提供根 CA 证书。
• 不允许嵌套组。用户应为 LDAP 管理员组的直接成员。 

提醒：

• 要使 LDAP 集成在保护存储 (Data Domain) 上成功运行，LDAP 查询用户必须具有计算机对象的创建/删除“完全控制”权限。 

• 使用 ping 命令确保连接。
  ping -c 4

  acm-4400-xxxx:~ #  ping -c 4 dc.amer.lan
  PING dc.amer.lan (192.168.7.100) 56(84) bytes of data.
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=1 ttl=128 time=0.246 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=2 ttl=128 time=0.439 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=3 ttl=128 time=0.414 ms
  64 bytes from DC.amer.lan (192.168.7.100): icmp_seq=4 ttl=128 time=0.495 ms
  

• “/etc/resolv.conf”中缺少 DNS 搜索域可能会导致到 LDAP 服务器主机名的 ping 失败。 

  acm-4400-xxxx:~ # cat /etc/resolv.conf
  search abc.com
  nameserver 10.xx.xx.xx
  nameserver 10.yy.yy.yy

• LDAP 集成的端口要求
  • 必须打开 TCP 端口 389 和 636，以便在 IDPA 组件和 Active Directory/OPENLDAP 之间进行通信。
  • 必须打开 TCP 端口 88 和 464，以便在保护软件 (Avamar)、保护存储 (DD) 和 AD/OPENLDAP 之间进行 Kerberos 身份验证。
• 如何测试端口连接？
  curl -kv :  

  acm-4400-xxxx:~ # curl -kv abc.test.com:636
  * Rebuilt URL to: abc.test.com:636/
  *   Trying xx.xx.xx.xx...
  * TCP_NODELAY set
  * Connected to dc.x400.sh (10.xx.xx.xx) port 636 (#0)
  > GET / HTTP/1.1
  > Host: abc.test.com:636
  > User-Agent: curl/7.60.0
  > Accept: */*

使用 LDAPSEARCH 进行故障处理

ldapsearch 是一个命令行工具，可打开与 LDAP 服务器的连接、绑定到 LDAP 服务器并使用筛选器执行搜索。

然后，结果以 LDIF（LDAP 数据交换格式）显示。
 

ldapsearch 工具可用于 IDPA 组件（如 ACM），以测试与 LDAP 服务器的连接并验证设置。

语法

• 不安全 LDAP：

  ldapsearch -h "LDAP_Server_FQDN" -p 389 -D "" -b "" -w ""

• 安全 LDAP (LDAPS)：

  ldapsearch -h ldaps://:636 -D "" -W -b ""

 

对证书进行故障处理

以下命令将获取并显示来自 LDAP 服务器的证书：           

openssl s_client -connect :

在 AD/DC PowerShell 验证用于外部 Active Directory LDAP 类型的查询用户名和搜索组

可以查询 Active Directory 服务器上的 Powershell 以获取 DN 格式的用户和组对象。

• Get-ADUser cmdlet 可获取指定的用户对象或执行搜索以获取多个用户对象。
• Get-ADGroup cmdlet 可获取一个组或执行搜索以从 Active Directory 检索多个组。

更新外部 LDAP 查询用户密码的步骤

如果外部 AD/OpenLDAP 上的 LDAP 查询用户密码发生更改，则可以使用相同的“Configure external LDAP”弹窗在 ACM 上进行更新。
这是避免出现“LDAP password out of sync”（LDAP 密码不同步）错误消息的必需步骤。

对日志进行故障处理

对 LDAP 问题进行故障处理时，用户必须在 ACM 上分析以下日志，以查看是否有任何配置、集成、验证错误：

– /usr/local/dataprotection/var/configmgr/server_data/logs/server.log

我们必须分析 LDAP 配置失败的组件的相关日志和 ACM 中的“server.log”日志。

 

功能	日志位置
ACM/组件产品 — LDAP 验证、配置、集成和监视	/usr/local/dataprotection/var/configmgr/server_data/logs/server.log
Data Protection Central (DPC) — LDAP 配置和身份验证	/var/log/dpc/elg/elg.log
搜索 — LDAP 配置和身份验证	/usr/local/search/log/cis/cis.log
保护软件 (Avamar) — LDAP 配置和身份验证	/usr/local/avamar/var/mc/server_log/userauthentication.log
保护存储 (Data Domain) — LDAP 配置和身份验证	/ddr/var/log/debug/messages.engineering
报告和分析 (DPA) —LDAP 配置和身份验证	/opt/emc/dpa/services/logs/server.log