IDPA Arama: Harici kimlik sağlayıcıya bağlantı test edilirken hata bildirildi

PowerProtect DPSearch yönetim konsolundaki LDAP Options bölümünde Bağlantıyı test et düğmesi kullanıldığında hata bildirilir. Güvenli Yuva Katmanı (SSL)alanı yanlış olarak ayarlanmışsa hata mesajı gösterilmez.

Aşağıdakine benzer hata mesajları, /usr/local/search/log/cis klasörü altında bulunan cis.log dosyasında bulunabilir:

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.  

DPSearch ana bilgisayarında ldapsearch Komut ile çalıştırılır "-v" ve "-d1" anahtarlarda aşağıdakine benzer bilgiler bulunur:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)

Kök Sertifika Yetkilisi (rootCA) ve ara CA (kullanılıyorsa) sertifikalarının güvenilen sertifika deposunda olmaması sertifika doğrulama hatasına neden olur.

Sorunu çözme adımları:

1. RootCA ve ara CA'nın (kullanılıyorsa) Gizliliği Artırılmış Posta (PEM) biçiminde bir kopyasını alın.
2. 1. adımdan PEM dosyalarını /etc/pki/trust/anchors/ klasörüne kopyalayın.
3. Kök hesap olarak oturum açtığınızda aşağıdaki komutu çalıştırın:

update-ca-certificates

Microsoft Windows temelli bir sertifika yetkilisinden rootCA sertifikasını dışa aktarmak için izlenecek adımlar:
 

1. Kök Sertifika Yetkilisi sunucusunda yönetici hesabıyla oturum açın.
2. Başlat'a gidin, Çalıştır'ı seçin, cmd yazın ve Tamam'ı seçin.
3. Kök Sertifika Yetkilisi sunucusunu yeni bir dosya adına aktarmak için aşağıdaki komutu çalıştırın:

certutil -ca.cert ca_name.cer

4. Sertifikayı DPSearch sunucusuna kopyalayın.
5. Yukarıdaki 4. adımda sertifika dosyasının kopyalandığı klasöre gidin ve sertifikayı PEM biçimine dönüştürmek için openSSL komutunu çalıştırın: 

   # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem

6. ca_name.pem dosyası, yukarıdaki Çözüm bölümünde belirtilen adımlar için kullanıma hazırdır.

Yukarıdaki adımlarda, ca_name ana bilgisayar adını tanımlamaya yardımcı olacak bir adla değiştirin.