IDPA zoeken: Fout gemeld tijdens het testen van verbinding met de externe identiteitsprovider

In de PowerProtect DPSearch-beheerconsole, onder het gedeelte LDAP-opties , wordt een fout gemeld wanneer de knop Verbinding testen wordt gebruikt. De foutmelding wordt niet weergegeven als het SSL-veld (Secure Socket Layer)is ingesteld op false.

Foutmeldingen zoals de volgende zijn te vinden in het cis.log-bestand onder de map /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

Op de DPSearch-host als het ldapsearch Opdracht wordt uitgevoerd met "-v" als "-d1" switches, wordt informatie gevonden die vergelijkbaar is met de volgende:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Basiscertificeringsinstantie (rootCA) en tussenliggende CA-certificaten (indien gebruikt) bevinden zich niet in het vertrouwde certificaatarchief, waardoor de certificaatvalidatie mislukt.

Stappen om het probleem op te lossen:

1. Download een kopie van de root-CA en de tussenliggende CA (indien gebruikt) in de PEM-indeling (Privacy-Enhanced Mail).
2. Kopieer PEM-bestanden van stap 1 naar de map /etc/pki/trust/anchors/ .
3. Terwijl u bent aangemeld als root-account, voert u de volgende opdracht uit:

update-ca-certificates

Te volgen stappen voor het exporteren van het rootCA-certificaat van een op Microsoft Windows gebaseerde certificaatinstantie:
 

1. Meld u aan bij de rootcertificeringsinstantieserver met een beheerdersaccount.
2. Ga naar Start, selecteer Uitvoeren, typ cmd en selecteer OK.
3. Als u de rootcertificeringsinstantieserver wilt exporteren naar een nieuwe bestandsnaam, voert u de volgende opdracht uit:

certutil -ca.cert ca_name.cer

4. Kopieer het certificaat naar de DPSearch-server.
5. Ga naar de map waarnaar het certificaatbestand is gekopieerd in stap 4 hierboven en voer de opdracht openSSL uit om het certificaat te converteren naar PEM-indeling: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. Het bestand ca_name.pem is gereed om te worden gebruikt voor de stappen die worden vermeld in het gedeelte Oplossing hierboven.

Vervang in de bovenstaande stappen ca_name door een naam die helpt bij het identificeren van de hostnaam.