IDPA 搜尋：測試與外部身分識別提供者的連線時回報失敗

在 PowerProtect DPSearch 管理主控台的 LDAP 選項 區段下，使用 測試連線 按鈕時回報故障。如果安全通訊端層 （SSL）欄位設為 false，則不會顯示錯誤訊息。

在 /usr/local/search/log/cis 資料夾下的 cis.log 檔案中可以找到類似以下的錯誤訊息：

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

在 DPSearch 主機上，如果 ldapsearch 執行命令時搭配 "-v" 和 "-d1" 交換器，可找到類似以下的資訊：  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

根證書頒發機構 （rootCA） 和中間 CA（如果使用）證書不在受信任的證書存儲中，從而導致證書驗證失敗。

解決問題的步驟：

1. 取得 Privacy-Enhanced Mail （PEM） 格式的 rootCA 和中繼 CA （若有使用） 複本。
2. 將步驟 1 的 PEM 檔案複製到 /etc/pki/trust/anchors/ 資料夾。
3. 以 root 帳戶登入時，執行下列命令：

update-ca-certificates

從 Microsoft Windows 型認證機構匯出 rootCA 憑證的步驟：
 

1. 使用系統管理員帳戶登入根認證機構伺服器。
2. 前往 「開始」，選取「執行」，鍵入 cmd，然後選取「確定」。
3. 若要將根認證機構伺服器匯出為新的檔案名稱，請執行以下命令：

certutil -ca.cert ca_name.cer

4. 將憑證複製到 DPSearch 伺服器。
5. 前往在上述步驟 4 中複製認證檔案的資料夾，然後執行 openSSL 命令，將憑證轉換為 PEM 格式： 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. ca_name.pem 檔案已就緒，可用於上述「解決方案」一節中提到的步驟。

在上述步驟中，請將 ca_name 替換為有助於識別主機名的名稱。