Búsqueda de IDPA: Se informó una falla durante la prueba de conexión con el proveedor de identidad externo

En la consola de administración de PowerProtect DPSearch, en la sección LDAP Options , se informa una falla cuando se utiliza el botón Test connection . El mensaje de error no se muestra si el campo Capa de conectores seguros (SSL)está configurado en falso.

Mensajes de error similares a los siguientes se pueden encontrar en el archivo cis.log , que se encuentra en la carpeta /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

En el host de DPSearch, si el ldapsearch El comando se ejecuta con "-v" y "-d1" switches, se encuentra información similar a la siguiente:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Los certificados de autoridad de certificación raíz (rootCA) y de CA intermedia (si se utilizan) no se encuentran en el almacén de certificados de confianza, lo que provoca una falla en la validación de certificados.

Pasos para resolver el problema:

1. Obtenga una copia de rootCA y la CA intermedia (si se utiliza) en formato de correo con privacidad mejorada (PEM).
2. Copie los archivos PEM del paso 1 a la carpeta /etc/pki/trust/anchors /.
3. Cuando haya iniciado sesión como cuenta raíz, ejecute el siguiente comando:

update-ca-certificates

Pasos que se deben seguir para exportar el certificado de rootCA desde una autoridad de certificación basada en Microsoft Windows:
 

1. Inicie sesión en el servidor de la entidad de certificación raíz con una cuenta de administrador.
2. Vaya a Inicio, seleccione Ejecutar, escriba cmd y seleccione Aceptar.
3. Para exportar el servidor de la autoridad de certificación raíz a un nuevo nombre de archivo, ejecute el siguiente comando:

certutil -ca.cert ca_name.cer

4. Copie el certificado en el servidor DPSearch.
5. Vaya a la carpeta donde se copió el archivo de certificado en el paso 4 anterior y ejecute el comando openSSL para convertir el certificado a formato PEM: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. El archivo ca_name.pem está listo para utilizarse en los pasos mencionados en la sección Resolución anterior.

En los pasos anteriores, reemplace ca_name con un nombre que ayude a identificar el nombre de host.