Pesquisa do IDPA: Falha relatada ao testar a conexão com o provedor de identidade externo

No console de administração do PowerProtect DPSearch, na seção LDAP Options , a falha é relatada quando o botão Test connection é usado. A mensagem de erro não será exibida se o campo SSL (Secure Socket Layer)estiver definido como false.

Mensagens de erro semelhantes às seguintes podem ser encontradas no arquivo cis.log , localizado na pasta /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

No host DPSearch se o ldapsearch O comando é executado com "-v" e "-d1" Encontram-se informações semelhantes às seguintes:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Os certificados da autoridade de certificação raiz (rootCA) e da CA intermediária (se usados) não estão no armazenamento de certificados confiáveis, causando falha na validação do certificado.

Etapas para resolver o problema:

1. Obtenha uma cópia da CA raiz e da CA intermediária (se usada) no formato Privacy-Enhanced Mail (PEM).
2. Copie os arquivos PEM da etapa 1 para a pasta /etc/pki/trust/anchors/ .
3. Enquanto estiver conectado como conta root, execute o seguinte comando:

update-ca-certificates

Etapas a seguir para exportar o certificado rootCA de uma autoridade de certificação baseada no Microsoft Windows:
 

1. Faça log-in no servidor da autoridade de certificação raiz com uma conta de administrador.
2. Vá para Iniciar, selecione Executar, digite cmd e selecione OK.
3. Para exportar o servidor da autoridade de certificação raiz para um novo nome de arquivo, execute o seguinte comando:

certutil -ca.cert ca_name.cer

4. Copie o certificado para o servidor DPSearch.
5. Vá para a pasta em que o arquivo de certificado foi copiado na etapa 4 acima e execute o comando openSSL para converter o certificado no formato PEM: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. O arquivo ca_name.pem está pronto para ser usado nas etapas mencionadas na seção Resolução acima.

Nas etapas acima, substitua ca_name por um nome que ajude a identificar o nome do host.