排除Cisco Jabber目錄搜尋問題
簡介
本文描述如何在配置安全套接字層(SSL)時排除Cisco Jabber目錄搜尋問題。
作者:Khushbu Shaikh,思科TAC工程師。Sumitt Patel和Jasmeet Sandhu編輯
必要條件
需求
思科建議您瞭解以下主題:
- Windows 版 Jabber
- Wireshark
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
問題
配置SSL時,Jabber目錄搜尋不起作用。
Jabber日誌分析
Jabber日誌顯示以下錯誤:
Directory searcher LDAP://gbllidmauthp01.sealedair.corp:389/ou=Internal,ou=Users,o=SAC not found, adding server gbllidmauthp01.sealedair.corp to blacklist.
2016-10-21 08:35:47,004 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - Using custom credentials to connect [LDAP://gbllidmauthp02.sealedair.corp:389] with tokens [1]
2016-10-21 08:35:47,138 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - failed to get a searcher - COMException [0x80072027]
封包擷取分析
在此封包擷取中,可以看到與Active Directory(AD)伺服器的傳輸控制通訊協定(TCP)連線成功,但使用者端和輕量型目錄存取通訊協定(Lightweight Directory Access Protocol, LDAP)伺服器之間的SSL交握失敗。這導致Jabber傳送FIN報文而不是通訊的加密會話金鑰。
即使已簽名的AD證書已上載到客戶端PC的信任儲存,此問題仍然存在。
對資料包捕獲的進一步分析顯示,AD伺服器證書的「增強型金鑰使用」部分中的「伺服器身份驗證」已丟失。
解決方案
使用增強型金鑰使用中的伺服器身份驗證解決了問題的證書重新建立了一個方案。請參閱證書影象進行比較。
證書中的伺服器身份驗證識別符號是成功的SSL握手的前提條件。
相關資訊
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
意見