SourceOne Email Management : Les requêtes adressées aux serveurs Microsoft LDAP échouent une fois que le renforcement de la sécurité empêche les liaisons LDAP en texte clair

Les requêtes adressées aux serveurs Microsoft LDAP peuvent échouer une fois que le renforcement de la sécurité empêche les liaisons LDAP en texte clair. Cela peut avoir un impact sur la définition d’une nouvelle activité ou sur les activités existantes qui utilisent des méthodes d’authentification LDAP non sécurisées.  

Exemple 1 : Impossible de définir une nouvelle activité à l’aide de LDAP :
Pendant, la mise en place d’une Activité ; lors du test d’une requête LDAP sur la page de configuration Select Datasources, les éléments suivants s’affichent après avoir appuyé sur le bouton « Execute » :

Connectant...
Relié.
Exécution de la requête <requête LDAP ici>
Échec de la requête LDAP

Remarque : Cette erreur est générique et peut également indiquer que la requête a échoué, car la syntaxe de la requête est incorrecte et non en raison d’un problème d’authentification.

Si la requête échoue, le ExMMCAdmin.dll.log enregistre également l’erreur suivante, qui indique une erreur d’authentification :
CoExLDAPClient ::TestConnection|ERREUR|Authentification forte requise Échec de l’appel système. (0x86040100)|CoExLDAPClient.cpp(256)


Exemple 2 : Les activités existantes ne s’exécutent
pasLes activités peuvent générer des tâches récurrentes qui sont définies comme exécutées à un moment donné. Lorsqu’elle est exécutée, la tâche JBS associée échoue. Avant le renforcement de la sécurité, les tâches JBS et JBC réussissent.  

Exemple : une tâche « Archiver l’historique » ne parvient pas à s’exécuter. Le ExArchiveJBS.exe.log associé consigne les erreurs suivantes après chaque défaillance :

CoExDirObjLookup ::ExecuteLDAPSearch|ERREUR|La requête LDAP suivante a échoué : <Requête LDAP ici>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox ::Run|ERROR-LOGD|La requête LDAP suivante a échoué : <Requête LDAP ici>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup ::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Étant donné que le ExArchiveJBS.exe n’a pas été terminé, aucune tâche de type « Archiver JBC » n’a été générée. Par conséquent, les boîtes aux lettres ne sont pas traitées. 

 

Ce problème peut se produire si l’accès à Active Directory via LDAP a été renforcé et ne prend plus en charge une connexion non sécurisée. L’application de la liaison de canal LDAP et de la signature LDAP ne prendra plus en charge l’accès non sécurisé à LDAP sur le port 389.  Consultez les Conseils de sécurité Microsoft ADV190023. 
Microsoft déclare : « Le 10 mars 2020 et les mises à jour prévues n’apporteront aucune modification à la signature LDAP ou aux stratégies de liaison de canal LDAP ou à leur équivalent de registre sur les contrôleurs de domaine nouveaux ou existants. »
L’application de ces paramètres de sécurité est facultative, mais certains administrateurs peuvent choisir d’appliquer des connexions sécurisées comme pratique d’excellence. Cette mise en œuvre peut entraîner l’échec des connexions non sécurisées. 

Les activités peuvent être mises à jour ou définies pour utiliser des interfaces ADSI (Active Directory Service Interface) ou LDAP sur SSL.

Pour activer Active Directory Service Interfaces (ADSI) :

• Modifiez les activités existantes ou, lors de la création d’activités, accédez à la page de configuration Select Datasources.
• Cochez la case Use Microsoft ADSI. Si la case à cocher est désactivée, cliquez sur le bouton Modifier et sélectionnez Le serveur prend en charge Microsoft ADSI Search. 
• Appuyez sur OK pour cocher la case Use Microsoft ADSI.
• La requête peut maintenant être testée à l’aide de la boîte de dialogue de requête et du bouton Exécuter.
• Validez que la requête s’exécute et renvoie les résultats attendus.
• Suivez l’Assistant de configuration pour terminer la mise à jour de l’activité.

Pour activer LDAP sur SSL :
Avant de configurer, le serveur LDAP doit disposer d’un certificat de confiance dans le magasin de certificats Windows qui autorisera les connexions LDAP sur SSL à un ou plusieurs serveurs de répertoire d’activité. 

• Modifiez des activités existantes ou, lors de la création de nouvelles activités, accédez à la page de configuration Select Datasources.
• Cliquez sur le bouton Edit et sélectionnez Server requires secure connection 
• En regard de Server Port, appuyez sur Use Default, ce qui met à jour le port vers 636.  
•   Remarque : Si LDAP sur SSL utilise un port personnalisé, saisissez le numéro de port personnalisé.
• Appuyez sur OK pour mettre à jour les modifications apportées à la configuration du serveur.
• La requête peut maintenant être testée à l’aide de la boîte de dialogue de requête et du bouton Exécuter.
• Validez que la requête s’exécute et renvoie les résultats attendus.
• Suivez l’Assistant de configuration pour terminer la mise à jour de l’activité.