IDPA-sökning: Fel rapporterades vid testning av anslutningen till den externa identitetsprovidern

I PowerProtect DPSearch-administrationskonsolen, under avsnittet LDAP-alternativ , rapporteras fel när knappen Testa anslutning används. Felmeddelandet visas inte om fältet SSL (Secure Socket Layer)är inställt på false.

Felmeddelanden som liknar följande finns i den cis.log filen som finns i mappen /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

På DPSearch-värden om ldapsearch kommandot körs med "-v" och "-d1" switchar finns information som liknar följande:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Rotcertifikatutfärdarcertifikat (rootCA) och mellanliggande CA-certifikat (om de används) finns inte i det betrodda certifikatarkivet, vilket orsakar certifikatvalideringsfel.

Steg för att lösa problemet:

1. Hämta en kopia av rotcertifikatutfärdaren och den mellanliggande certifikatutfärdaren (om en används) i PEM-format (Privacy-Enhanced Mail).
2. Kopiera PEM-filer från steg 1 till mappen /etc/pki/trust/anchors/ .
3. När du är inloggad som rotkonto kör du följande kommando:

update-ca-certificates

Steg att följa för att exportera rootCA-certifikatet från en Microsoft Windows-baserad certifikatutfärdare:
 

1. Logga in på rotcertifikatutfärdarens server med ett administratörskonto.
2. Gå till Start, välj Kör, skriv cmd och välj OK.
3. Om du vill exportera rotcertifikatutfärdarservern till ett nytt filnamn kör du följande kommando:

certutil -ca.cert ca_name.cer

4. Kopiera certifikatet till DPSearch-servern.
5. Gå till mappen där certifikatfilen kopierades i steg 4 ovan och kör kommandot openSSL för att konvertera certifikatet till PEM-format: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. Filen ca_name.pem är klar att användas för steg som nämns i avsnittet Lösning ovan.

I stegen ovan ersätter du ca_name med ett namn som hjälper dig att identifiera värdnamnet.