IDPA検索: 外部IDプロバイダーへの接続テスト中にエラーが報告される

Summary: このKB記事では、セキュア ソケット レイヤーを使用したバインドに失敗したために、[Test Connection]ボタンがエラー メッセージを報告する問題について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

PowerProtect DPSearch管理コンソールの[LDAP Options ]セクションで、[ Test connection ]ボタンを使用すると障害が報告されます。Secure Socket Layer (SSL)フィールドがfalseに設定されている場合、エラー メッセージは表示されません。


次のようなエラー メッセージが、/usr/local/search/log/cis フォルダーの下にある cis.log ファイル内にあります。

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.

DPSearchホストで、 ldapsearch コマンドは "-v""-d1" スイッチでは、次のような情報が見つかります。  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)



 

Cause

ルート認証局(rootCA)および中間CA(使用している場合)の証明書が信頼できる証明書ストアにないため、証明書の検証に失敗します。

Resolution

この問題を解決するには、次の手順を実行します。

  1. rootCA と中間 CA (使用されている場合) のコピーを Privacy-Enhanced Mail (PEM) 形式で取得します。
  2. 手順1のPEMファイルを /etc/pki/trust/anchors/ フォルダーにコピーします。
  3. rootアカウントとしてログインした状態で、次のコマンドを実行します。
update-ca-certificates


 

Additional Information

Microsoft Windowsベースの認証局からrootCA証明書をエクスポートする手順は次のとおりです。
 

  1. 管理者アカウントを使用してルート認証局サーバーにログインします。
  2. [スタート] に移動し、[ファイル名を指定して実行] を選択し、「cmd」と入力して [OK] を選択します。
  3. ルート証明機関サーバーを新しいファイル名でエクスポートするには、次のコマンドを実行します。
certutil -ca.cert ca_name.cer
  1. 証明書をDPSearchサーバーにコピーします。
  2. 上記の手順4で証明書ファイルをコピーしたフォルダーに移動し、openSSLコマンドを実行して証明書をPEM形式に変換します。  
    # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem
  3. ca_name.pemファイルは、前述の「解決方法」セクションで説明した手順で使用する準備が整いました。


上記の手順で、ca_nameをホスト名を識別するのに役立つ名前に置き換えます。

Affected Products

Data Protection Search, Data Protection Search, PowerProtect Data Protection Software, Integrated Data Protection Appliance Software
Article Properties
Article Number: 000184001
Article Type: Solution
Last Modified: 22 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.