Пошук ІДПА: Повідомлення про помилку під час перевірки з'єднання із зовнішнім постачальником посвідчень
Summary: У цій статті бази знань описано проблему, через яку кнопка «Перевірити підключення» повідомляє про помилку через невдачу прив'язки за допомогою рівня захищеного сокета.
Symptoms
На консолі адміністрування PowerProtect DPSearch у розділі «Параметри LDAP » повідомляється про збій у разі використання кнопки Тестове підключення . Повідомлення про помилку не відображається, якщо для поля Secure Socket Layer (SSL)встановлено значення false.
Повідомлення про помилки, подібні до наведених нижче, можна знайти у файлі cis.log , розташованому в папці /usr/local/search/log/cis :
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(62)|Parsed body A-OK
P7FF0|2021/03/09 13:34:46:765|DEBUG|cislockbox.rb(79)|Binding to ldap using: [Server=ldaphost, Port:636, User=ldapuser, Pwd: ********************]
P7FF0|2021/03/09 13:34:46:768|DEBUG|cisconfigldap.rb(128)|Binding to [ldaphost:636 as ldapuser]
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "Connection to ldap server ldaphost failed, ex: SSL_connect returned=1 errno=0 state=error: certificate verify failed."
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_internal.rb(645)|Ldap Internal; bind_as: "bind as result: "
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "bind_as user ldapuser failed on LDAP Host ldaphost with #\u003cOpenStruct code=0, message=\"Success\"\u003e"
P7FF0|2021/03/09 13:34:46:780|DEBUG|ldap_provider.rb(317)|Ldap Provider; validate_user: "validate_user failed. User entry: null"
P7FF0|2021/03/09 13:34:46:781|ERROR|cisconfigldap.rb(141)|LDAP binding failed.
P7FF0|2021/03/09 13:34:46:781|ERROR|cislockbox.rb(99)|PUT /cis/lockbox/ldap/_test : LDAP binding failed. Invalid LDAP parameters. На хості DPSearch, якщо ldapsearch команду виконується за допомогою "-v" і "-d1" перемикачів, інформація аналогічна наступній:
TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:unknown state
TLS certificate verification: depth: 1, err: 20, subject <subject of certificate>, issuer: <issuer details>
TLS certificate verification: Error, unable to get local issuer certificate
TLS trace: SSL3 alert write:fatal:unknown CA
TLS trace: SSL_connect:error in error
TLS trace: SSL_connect:error in error
TLS: cann't connect: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (unable to get local issuer certificate).
ldap_err2string
ldap_sasl_bind(SIMPLE): Can't contact LDAP server(-1)
Cause
Сертифікати кореневого центру сертифікації (rootCA) і проміжного центру сертифікації (якщо використовується) не зберігаються в надійному сховищі сертифікатів, що призводить до помилки перевірки сертифіката.
Resolution
Кроки для вирішення проблеми:
- Отримайте копію rootCA та проміжного CA (якщо використовується) у форматі Privacy-Enhanced Mail (PEM).
- Скопіюйте PEM-файли з кроку 1 до папки /etc/pki/trust/anchors/.
- Увійшовши в систему як обліковий запис root, виконайте наступну команду:
update-ca-certificatesAdditional Information
Кроки, які потрібно виконати для експорту сертифіката rootCA з центру сертифікації Microsoft Windows:
- Увійдіть на сервер Root Certification Authority за допомогою облікового запису адміністратора.
- Перейдіть до «Пуск», виберіть «Виконати», введіть cmd і натисніть «OK».
- Щоб експортувати сервер кореневого центру сертифікації в нове ім'я файлу, запустіть таку команду:
certutil -ca.cert ca_name.cer- Скопіюйте сертифікат на сервер DPSearch.
- Перейдіть до папки, де файл сертифіката був скопійований у кроці 4 вище, і виконайте команду openSSL, щоб перетворити сертифікат у формат PEM:
# openssl x509 -in ca_ name.cer -inform der -out ca_name.pem -outform pem - Файл ca_name.pem готовий до використання для виконання кроків, згаданих у розділі «Роздільна здатність» вище.
У наведених вище кроках замініть ca_name на ім'я, яке допоможе визначити ім'я хоста.