问题:
将CA SSO策略服务器升级到12.52SP2后,它无法再与LDAP建立安全连接。

旧版本的CA SSO(12.52SP1)能够很好地建立与LDAP的安全连接。

smps.log显示:

[2700/3456] [2017年1月5日星期五15:35:55] [SmDsLdapConnMgr.cpp:788] [警告] [sm-Ldap-02910]禁用SSLv3客户端协议。如果连接失败,请配置LDAP服务器以支持TLS协议。

[2700/3456] [2017年1月5日星期五15:35:55] [SmDsLdapConnMgr.cpp:950] [错误] [sm-Ldap-01370] SmDsLdapConnMgr绑定。服务器ad2k8-01:636。错误81-无法联系LDAP服务器

环境:
策略服务器:R12.52SP2及更高版本策略服务器操作系统:ANYUser存储:任何LDAP
原因:
启动r12.52 SP2 CA SSO策略服务器时,默认情况下禁用对SSL存储的安全连接的SSLv3协议支持。

完成此更改是为了缓解SSLv3 Poodle漏洞:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-3566

这也可以在smps.log中看到:

[2700/3456] [2017年1月5日星期五15:35:55] [SmDsLdapConnMgr.cpp:788] [警告] [sm-Ldap-02910] 禁用SSLv3客户端协议。如果连接失败,请配置LDAP服务器以支持TLS协议。

现在的意思是,Policy Server现在使用TLS协议来建立到LDAP存储的安全通道。

此处列出了不同版本的CA SSO策略服务器支持的TLS协议的详细列表:

https://www.ca.com/us/services-support/ca-support/ca-support-online/knowledge-base-articles.TEC2147705.html

因此,如果LDAP服务器上未启用支持的TLS协议,则策略服务器将无法与其建立安全连接。

解析度:
配置LDAP服务器以支持CA SSO策略服务器版本支持的TLS协议,具体如下:

https://www.ca.com/us/services-support/ca-support/ca-support-online/knowledge-base-articles.TEC2147705.html

从r12.52SP2 CR1开始(截至本文撰写时),策略服务器仅支持TLSv1.0,并且无法在任何其他协议上连接它。

因此,请确保在LDAP服务器上启用TLSv1.0以解决此连接问题。

例如,对于Active Directory,您可以按照本指南配置SSL协议:

https://technet.microsoft.com/en-us/library/dn786418(v=ws.11).aspx#BKMK_SchannelTR_TLS10

测试:
在Active Directory上禁用TLSv1.0

1.屏幕截图TLSv1.0在AD上禁用

AD_TLSV1.0_Disabled.jpg

2.屏幕截图策略服务器端的SSL握手失败

NONWorking_TLSV1.0Disabled.png

3.屏幕截图管理UI显示连接失败

ADMINUI.png

在Active Directory上启用TLSv1.0

1.屏幕截图TLSv1.0在AD上启用

AD_TLSV1.0_Enabled.jpg

2.屏幕截图SSL握手在策略服务器端成功

WORKING_TLSv1.0.png

3.屏幕截图管理UI显示连接成功和检索结果

Admin UI working.png策略服务器安全ldap连接失败-IDC帮帮忙