NetBackup™ 安全和加密指南

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   (authldap.cpp) CAuthLDAP::validatePrpl - ldap_simple_bind_s() failed for user 'CN=Test User,OU=VTRSUsers,DC=VRTS,DC=com', error = -1, errmsg = Can’t contact LDAP server,9:debugmsgs,1

2. 检查以下任一方案是否成立，并执行为该方案提供的步骤。

   通过 vssat addldapdomain 提供的 LDAP 服务器 URL（-s 选项）可能是错误的	运行以下命令进行验证： ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> 示例： ldapsearch -H ldaps://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******** -d 5 -o nettimeout=60 TLS: can't connect: TLS error -8179:Peer's Certificate issuer is not recognized. ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
   服务器证书颁发者不是可信 CA	如果使用 ldaps 选项且可通过使用 ldapsearch 命令进行验证，则此选项适用： set env var LDAPTLS_CACERT to cacert.pem ldapsearch -H <LDAPS_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> cacert.pem 的文件路径： 在 Windows 上： <Install_path>\NetBackup\var\global\vxss\eab\data\systemprofile\certstore\trusted\pluggins\ldap\cacert.pem 在 UNIX 上： /usr/openv/var/global/vxss/eab/data/root/.VRTSat/profile/certstore/trusted/pluggins/ldap/cacert.pem 示例： ldapsearch -H ldaps://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******** -d 5 -o nettimeout=60 TLS: can't connect: TLS error -8179:Peer's Certificate issuer is not recognized.. ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
   NetBackup Authentication Service (nbatd) 不信任对 LDAP 服务器安全证书进行签名的证书颁发机构 请参见NetBackup Authentication Service 信任的证书颁发机构。	使用 vssat addldapdomain 命令的 -f 选项将 CA 证书添加到 Authentication Service (nbatd) 信任存储区。

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validatePrpl - ldap_simple_bind_s() failed for user 'CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com', error = 49, errmsg = Invalid credentials,9:debugmsgs,1

2. 检查以下方案是否成立，并执行为该方案提供的步骤。

   使用 vssat addldapdomain 命令添加 LDAP 域时提供的管理员用户 DN 或密码无效

   运行以下命令进行验证： ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> 示例： ldapsearch -H ldap://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ******** -d 5 –o nettimeout=60 ldap_bind: Invalid credentials (49)

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validatePrpl - ldap_search_s() error = 10, errmsg = Referral,9:debugmsgs,1 CAuthLDAP::validatePrpl - ldap_search_s() error = 34, errmsg = Invalid DN syntax,9:debugmsgs,1

2. 如果用户基本 DN（-u 选项）或组基本 DN（-g 选项）的值不正确，则可能会在日志中看到错误。

   运行以下命令进行验证：

   示例：

   ldapsearch -H ldap://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ****** -b "OU=VRTSUsers,DC=VRTS,DC=con" "(&(cn=test user)(objectClass=user))"

   ldapsearch -H ldap://example.veritas.com:389 -D "CN=Test User,OU=VRTSUsers,DC=VRTS,DC=com" -w ****** -b "VRTS" "(&(cn=test user)(objectClass=user))"

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validateGroup - search returned '2' entries for group name 'team_noone', even with referrals set to OFF,9:debugmsgs,1

2. 如果用户搜索属性（-a 选项）和组搜索属性（-y 选项）不具有分别对应于现有用户基本 DN 和组基本 DN 的唯一值，则此选项适用。

   使用 ldapsearch 命令验证现有基本 DN 的匹配条目数。

   ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> -b <BASE_DN> <search_filter>

   示例：

对问题进行故障排除

1. 检查 nbatd 日志是否包含以下错误：

   CAuthLDAP::validatePrpl - user ‘test user’ NOT found,9:debugmsgs,4 CAuthLDAP::validateGroup - group 'test group' NOT found,9:debugmsgs,4

2. 如果用户或组存在于 LDAP 域中，但 vssat validateprpl 或 vssat validategroup 命令失败并显示此错误，则使用以下命令验证当前基本 DN 中是否存在用户或组（-u 和 -g 选项）。

   ldapsearch -H <LDAP_URI> -D "<admin_user_DN>" -w <passwd> -d <debug_level> -o nettimeout=<seconds> -b <BASE_DN> <search_filter>