IDPA-søk: Feil rapportert under testing av tilkobling til den eksterne identitetsleverandøren

På administrasjonskonsollen for PowerProtect DPSearch, under delen LDAP-alternativer , rapporteres det om feil når knappen Testtilkobling brukes. Feilmeldingen vises ikke hvis SSL-feltet (Secure Socket Layer)er satt til usann.

Du finner feilmeldinger som ligner på følgende, i cis.log-filen , som ligger under mappen /usr/local/search/log/cis :

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

På DPSearch-verten hvis ldapsearch Kommandoen kjøres med "-v" og "-d1" brytere, finner du informasjon som ligner på følgende:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Rotsertifiseringsinstanser (rootCA) og midlertidige CA-sertifikater (hvis brukt) er ikke i lageret for klarerte sertifikater, noe som forårsaker feil ved sertifikatvalidering.

Trinn for å løse problemet:

1. Få en kopi av rootCA og mellomliggende sertifiseringsinstans (hvis brukt) i PEM-format (Privacy-Enhanced Mail).
2. Kopier PEM-filer fra trinn 1 til mappen /etc/pki/trust/anchors/ .
3. Mens du er logget på som rotkonto, kjører du følgende kommando:

update-ca-certificates

Trinn å følge for å eksportere rootCA-sertifikatet fra en Microsoft Windows-basert sertifiseringsinstans:
 

1. Logg på rotsertifiseringsinstansserveren med en administratorkonto.
2. Gå til Start, velg Kjør, skriv inn cmd, og velg OK.
3. Hvis du vil eksportere rotsertifiseringsinstansserveren til et nytt filnavn, kjører du følgende kommando:

certutil -ca.cert ca_name.cer

4. Kopier sertifikatet til DPSearch-serveren.
5. Gå til mappen der sertifikatfilen ble kopiert i trinn 4 ovenfor, og kjør openSSL-kommandoen for å konvertere sertifikatet til PEM-format: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. ca_name.pem-filen er klar til bruk for trinnene som er nevnt i løsningsdelen ovenfor.

I trinnene ovenfor erstatter du ca_name med et navn som hjelper deg med å identifisere vertsnavnet.