Inleiding
Dit document beschrijft hoe u problemen kunt oplossen bij het zoeken naar een directory Cisco Jabber wanneer Secure Socket Layer (SSL) is ingesteld.
Bijgedragen door Khushbu Shaikh, Cisco TAC-engineers. Bewerkt door Sumit Patel en Jasmeet Sandhu
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Jabber voor Windows
- Wireshark
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Probleem
Jabber folder search werkt niet als SSL is ingesteld.
Jabber-loganalyse
Jabber-logbestanden tonen deze fout:
Directory searcher LDAP://gbllidmauthp01.sealedair.corp:389/ou=Internal,ou=Users,o=SAC not found, adding server gbllidmauthp01.sealedair.corp to blacklist.
2016-10-21 08:35:47,004 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - Using custom credentials to connect [LDAP://gbllidmauthp02.sealedair.corp:389] with tokens [1]
2016-10-21 08:35:47,138 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - failed to get a searcher - COMException [0x80072027]
Packet Capture Analysis
Bij deze pakketvastlegging kan worden gezien dat de TCP-verbinding (Transmission Control Protocol) met de AD-server (Active Directory) succesvol is, maar dat de SSL-handdruk tussen de client en de LDAP-server lichtgewicht Directory Access Protocol (LDAP) mislukt. Dit zorgt ervoor dat Jabber een FIN-bericht verstuurt in plaats van de versleutelde sessie-sleutel voor de communicatie.
De kwestie blijft bestaan, ook al wordt het ondertekende AD-certificaat geüpload naar de trustwinkel van de klant PC.
Uit verdere analyses van de pakketvastlegging blijkt dat de serververificatie niet is verricht in het vak Uitgebreide sleutel voor gebruik van het AD-servercertificaat.
Oplossing
Een scenario werd gecreëerd met een certificaat dat de Verificatie van de Server in Uitgebreid Gebruik heeft dat de kwestie oplost. Zie de afbeeldingen van de certificaten voor vergelijking.
De identificatie van de serververificatie in het certificaat is een voorwaarde voor een succesvolle SSL-handdruk.
Gerelateerde informatie
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc