IDPA-søgning: Fejl rapporteret under test af forbindelse til den eksterne identitetsudbyder

I PowerProtect DPSearch-administrationskonsollen rapporteres der under afsnittet LDAP-indstillinger fejl, når knappen Test forbindelse anvendes. Fejlmeddelelsen vises ikke, hvis SSL-feltet (Secure Socket Layer)er indstillet til falsk.

Fejlmeddelelser, der ligner følgende, findes i cis.log-filen , der findes under mappen /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

På DPSearch-værten, hvis ldapsearch Kommandoen køres med "-v" og "-d1" switche, findes oplysninger, der ligner følgende:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Rodnøglecenteret (rootCA) og mellemliggende CA-certifikater (hvis de anvendes) findes ikke i lageret for certifikater, der er tillid til, hvilket forårsager fejl i certifikatvalideringen.

Trin til at løse problemet:

1. Få en kopi af rootCA og mellemliggende CA (hvis brugt) i PEM-format (Privacy-Enhanced Mail).
2. Kopier PEM-filer fra trin 1 til mappen /etc/pki/trust/anchors/ .
3. Mens du er logget på som root-konto, skal du køre følgende kommando:

update-ca-certificates

Trin, der skal følges for at eksportere rootCA-certifikatet fra et Microsoft Windows-baseret nøglecenter:
 

1. Log på rodnøglecenterets server med en administratorkonto.
2. Gå til Start, vælg Kør, skriv cmd, og vælg OK.
3. Hvis du vil eksportere rodnøglecenterserveren til et nyt filnavn, skal du køre følgende kommando:

certutil -ca.cert ca_name.cer

4. Kopier certifikatet til DPSearch-serveren.
5. Gå til den mappe, hvor certifikatfilen blev kopieret i trin 4 ovenfor, og kør kommandoen openSSL for at konvertere certifikatet til PEM-format: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. Filen ca_name.pem er klar til brug i de trin, der er nævnt i afsnittet Løsning ovenfor.

I ovenstående trin skal du erstatte ca_name med et navn, der hjælper med at identificere værtsnavnet.