排除Cisco Jabber目录搜索问题
简介
本文档介绍如何在配置安全套接字层(SSL)时排除Cisco Jabber目录搜索问题。
作者:Khushbu Shaikh,Cisco TAC工程师。苏米特·帕特尔、贾斯梅特·桑杜编辑
先决条件
要求
Cisco 建议您了解以下主题:
- Windows 版 Jabber
- Wireshark
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
问题
配置SSL时,Jabber目录搜索不起作用。
Jabber日志分析
Jabber日志显示以下错误:
Directory searcher LDAP://gbllidmauthp01.sealedair.corp:389/ou=Internal,ou=Users,o=SAC not found, adding server gbllidmauthp01.sealedair.corp to blacklist.
2016-10-21 08:35:47,004 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - Using custom credentials to connect [LDAP://gbllidmauthp02.sealedair.corp:389] with tokens [1]
2016-10-21 08:35:47,138 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - failed to get a searcher - COMException [0x80072027]
数据包捕获分析
在此数据包捕获中,可以看到到Active Directory(AD)服务器的传输控制协议(TCP)连接成功,但客户端与轻量目录访问协议(LDAP)服务器之间的SSL握手失败。这会导致Jabber发送FIN消息,而不是用于通信的加密会话密钥。
即使已签名的AD证书上传到客户端PC的信任存储,问题仍然存在。
对数据包捕获的进一步分析显示,AD服务器证书的“增强密钥使用”(Enhanced Key Usage)部分中的“服务器身份验证”(Server Authentication)已消失。
解决方案
已使用“增强密钥使用”中的服务器身份验证解决了该问题的证书重新创建方案。请参阅证书的映像以进行比较。
证书中的服务器身份验证标识符是成功SSL握手的先决条件。
相关信息
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
反馈