IDPA-Suche: Beim Testen der Verbindung zum externen Identitätsanbieter wurde ein Fehler gemeldet

In der PowerProtect DPSearch-Verwaltungskonsole wird im Abschnitt LDAP-Optionen ein Fehler gemeldet, wenn die Schaltfläche Verbindung testen verwendet wird. Die Fehlermeldung wird nicht angezeigt, wenn das Feld SSL (Secure Socket Layer) auf "false"festgelegt ist.

Fehlermeldungen ähnlich der folgenden finden Sie in der cis.log-Datei , die sich im Ordner /usr/local/search/log/cis befindet:

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

Auf dem DPSearch-Host, wenn die ldapsearch Befehl wird ausgeführt mit "-v" und "-d1" werden Informationen gefunden, die den folgenden ähneln:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Die Zertifikate der Stammzertifizierungsstelle (rootCA) und der Zwischenzertifizierungsstelle (falls verwendet) befinden sich nicht im vertrauenswürdigen Zertifikatspeicher, was zu einem Fehler bei der Zertifikatvalidierung führt.

Schritte zur Behebung des Problems:

1. Rufen Sie eine Kopie der Stammzertifizierungsstelle und der Zwischenzertifizierungsstelle (falls verwendet) im Format Privacy-Enhanced Mail (PEM) ab.
2. Kopieren Sie die PEM-Dateien aus Schritt 1 in den Ordner /etc/pki/trust/anchors/ .
3. Führen Sie den folgenden Befehl aus, während Sie als Root-Konto angemeldet sind:

update-ca-certificates

Zu befolgende Schritte zum Exportieren des rootCA-Zertifikats von einer Microsoft Windows-basierten Zertifizierungsstelle:
 

1. Melden Sie sich mit einem Administratorkonto beim Server der Stammzertifizierungsstelle an.
2. Wechseln Sie zu Start, wählen Sie Ausführen aus, geben Sie cmd ein und wählen Sie OK aus.
3. Um den Server der Stammzertifizierungsstelle in einen neuen Dateinamen zu exportieren, führen Sie den folgenden Befehl aus:

certutil -ca.cert ca_name.cer

4. Kopieren Sie das Zertifikat auf den DPSearch-Server.
5. Navigieren Sie zu dem Ordner, in den die Zertifikatdatei in Schritt 4 oben kopiert wurde, und führen Sie den Befehl openSSL aus, um das Zertifikat in das PEM-Format zu konvertieren: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. Die Datei ca_name.pem kann für die Schritte verwendet werden, die oben im Abschnitt "Lösung" aufgeführt sind.

Ersetzen Sie in den obigen Schritten ca_name durch einen Namen, der zur Identifizierung des Hostnamens beiträgt.