IDPA 搜尋:測試與外部身分識別提供者的連線時回報失敗

Summary: 本知識文章概述由於無法使用安全通訊端層進行綁定而導致「測試連線」按鈕報告錯誤訊息的問題。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

在 PowerProtect DPSearch 管理主控台的 LDAP 選項 區段下,使用 測試連線 按鈕時回報故障。如果安全通訊端層 (SSL)欄位設為 false,則不會顯示錯誤訊息。


/usr/local/search/log/cis 資料夾下的 cis.log 檔案中可以找到類似以下的錯誤訊息:

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.

在 DPSearch 主機上,如果 ldapsearch 執行命令時搭配 "-v""-d1" 交換器,可找到類似以下的資訊:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)



 

Cause

根證書頒發機構 (rootCA) 和中間 CA(如果使用)證書不在受信任的證書存儲中,從而導致證書驗證失敗。

Resolution

解決問題的步驟:

  1. 取得 Privacy-Enhanced Mail (PEM) 格式的 rootCA 和中繼 CA (若有使用) 複本。
  2. 將步驟 1 的 PEM 檔案複製到 /etc/pki/trust/anchors/ 資料夾。
  3. 以 root 帳戶登入時,執行下列命令:
update-ca-certificates


 

Additional Information

從 Microsoft Windows 型認證機構匯出 rootCA 憑證的步驟:
 

  1. 使用系統管理員帳戶登入根認證機構伺服器。
  2. 前往 「開始」,選取「執行」,鍵入 cmd,然後選取「確定」。
  3. 若要將根認證機構伺服器匯出為新的檔案名稱,請執行以下命令:
certutil -ca.cert ca_name.cer
  1. 將憑證複製到 DPSearch 伺服器。
  2. 前往在上述步驟 4 中複製認證檔案的資料夾,然後執行 openSSL 命令,將憑證轉換為 PEM 格式:  
    # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem
  3. ca_name.pem 檔案已就緒,可用於上述「解決方案」一節中提到的步驟。


在上述步驟中,請將 ca_name 替換為有助於識別主機名的名稱。

Affected Products

Data Protection Search, Data Protection Search, PowerProtect Data Protection Software, Integrated Data Protection Appliance Software
Article Properties
Article Number: 000184001
Article Type: Solution
Last Modified: 22 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.