IDPA 搜索:测试与外部身份提供程序的连接时报告故障

Summary: 本知识库文章概述了由于无法使用安全套接字层进行绑定,“测试连接”按钮报告错误消息的问题。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

在 PowerProtect DPSearch 管理控制台的“LDAP Options ”部分下,使用 “Test connection ”按钮时会报告失败。如果安全套接字层 (SSL)字段设置为 false,则不会显示错误消息。


可以在位于 /usr/local/search/log/cis 文件夹下的 cis.log 文件中找到类似于以下内容的错误消息:

P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK 
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************] 
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser] 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed." 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: " 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e" 
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null" 
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed. 
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed.  Invalid LDAP parameters.

在 DPSearch 主机上,如果 ldapsearch 命令使用 "-v""-d1" Switches,找到类似于以下内容的信息:  

TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)



 

Cause

根证书颁发机构 (rootCA) 和中间 CA(如果使用)证书不在受信任的证书存储中,从而导致证书验证失败。

Resolution

解决问题的步骤:

  1. 以隐私增强邮件 (PEM) 格式获取根 CA 和中间 CA(如果使用)的副本。
  2. 将步骤 1 中的 PEM 文件复制到 /etc/pki/trust/anchors/ 文件夹。
  3. 在以 root 帐户身份登录时,运行以下命令:
update-ca-certificates


 

Additional Information

从基于 Microsoft Windows 的证书颁发机构导出 rootCA 证书的步骤:
 

  1. 使用管理员帐户登录根证书颁发机构服务器。
  2. 转到 “开始”,选择“运行”,键入 cmd,然后选择“确定”。
  3. 若要将根证书颁发机构服务器导出为新文件名,请运行以下命令:
certutil -ca.cert ca_name.cer
  1. 将证书复制到 DPSearch 服务器。
  2. 转至上述步骤 4 中将证书文件复制到的文件夹,然后运行 openSSL 命令以将证书转换为 PEM 格式:  
    # openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem
  3. ca_name.pem 文件已准备好用于上述“解决方案”部分中提到的步骤。


在上述步骤中,将 ca_name替换为有助于标识主机名的名称。

Affected Products

Data Protection Search, Data Protection Search, PowerProtect Data Protection Software, Integrated Data Protection Appliance Software
Article Properties
Article Number: 000184001
Article Type: Solution
Last Modified: 22 Aug 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.