IDPA Search : Échec signalé lors du test de la connexion au fournisseur d’identité externe

Dans la console d’administration PowerProtect DPSearch, sous la section LDAP Options , un échec est signalé lorsque le bouton Test connection est utilisé. Le message d’erreur ne s’affiche pas si le champ SSL (Secure Socket Layer)est défini sur false.

Des messages d’erreur similaires à ce qui suit se trouvent dans le fichier cis.log , situé dans le dossier /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

Sur l’hôte DPSearch, si l’option ldapsearch La commande est exécutée avec "-v" et "-d1" commutateurs, des informations similaires à ce qui suit sont trouvées :  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Les certificats de l’autorité de certification racine (rootCA) et de l’autorité de certification intermédiaire (le cas échéant) ne figurent pas dans le magasin de certificats de confiance, ce qui entraîne l’échec de la validation du certificat.

Étapes de résolution du problème :

1. Obtenez une copie de l’autorité de certification racine et de l’autorité de certification intermédiaire (le cas échéant) au format PEM (Privacy-Enhanced Mail).
2. Copiez les fichiers PEM de l’étape 1 dans le dossier /etc/pki/trust/anchors/ .
3. Lorsque vous êtes connecté en tant que compte root, exécutez la commande suivante :

update-ca-certificates

Étapes à suivre pour exporter le certificat rootCA à partir d’une autorité de certification basée sur Microsoft Windows :
 

1. Connectez-vous au serveur de l’autorité de certification racine avec un compte administrateur.
2. Accédez à Démarrer, sélectionnez Exécuter, saisissez cmd, puis sélectionnez OK.
3. Pour exporter le serveur de l’autorité de certification racine vers un nouveau nom de fichier, exécutez la commande suivante :

certutil -ca.cert ca_name.cer

4. Copiez le certificat sur le serveur DPSearch.
5. Accédez au dossier dans lequel le fichier de certificat a été copié à l’étape 4 ci-dessus et exécutez la commande openSSL pour convertir le certificat au format PEM : 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. Le fichier ca_name.pem est prêt à être utilisé pour les étapes mentionnées dans la section Résolution ci-dessus.

Dans les étapes ci-dessus, remplacez ca_name par un nom permettant d’identifier le nom d’hôte.