QRadar: SSL オプションを使用する LDAP 認証の構成が証明書のピン留めエラーで失敗する

Troubleshooting

Problem

Active Directory を使用して LDAP 認証をセット・アップする際に Test Connection のオプションを使用した場合、 LDAPS を経由して接続を行うため、SSL handshake exception を引き起こします。

Symptom

LDAP 認証のページで Active Directory の Test Connection オプションを使用している場合、LDAPS を経由した接続で SSL handshake に関するエラー・メッセージが表示されます:

Cause

このエラーは、QRadar® が Active Directory 証明書で必要な chain of trust 内の証明書がないことを示しています。これは、ルート認証局 ( CA ) だけではなく、中間認証局 ( CA ) が関連する証明書でも発生する可能性があります。

Environment

Windows Active Directory Server 2012

Windows Active Directory Server 2016

Diagnosing The Problem

Test Connection のオプションを使用すると qradar.error ファイル内に以下のような内容が記録されます:

[tomcat.tomcat] [admin@9.79.226.252 (6154) /console/JSON-RPC/QRadar.isLDAPConnectionAvailable QRadar.isLDAPConnectionAvailable] com.q1labs.frameworks.crypto.trustmanager.CertificateValidator: [ERROR] [NOT:0000003000][x.x.x.x/- -] [-/- -]checkCertificatePinning failed.

Resolving The Problem

注: これらの手順は、その他のディレクトリ・サーバーに対する LDAPS ベースの認証にも適用できます。

実際の証明書の chain of trust に属するすべての証明書を Active Directory 管理者に要求してください。これらの証明書はすべて /opt/qradar/conf/trusted_certificates/ に配置します。
Active Directory 管理者が正しい証明書チェーンを提供していない、または正しい証明書チェーンが認識されていない場合は、以下のコマンドを実行して、Active Directory サーバーから証明書チェーンを抽出することができます:
```
cd /opt/qradar/conf/trusted_certificates/
```
```
openssl s_client -connect <AD server FQDN>:636 -showcerts </dev/null 2>/dev/null | openssl x509 -outform pem > ad_ldap_server.pem
```
注: Active Directory のルート・ドメインに接続している場合は、ポート 636 を 3269 (グローバル・カタログ・ポート) に置き換えてください。ポート 3269 がオープンしているかどうかを確認するため、QRadar コンソールから以下のコマンドを実行します:
```
#telnet <AD server FQDN> 3269
```
証明書を確認するため、以下のコマンドを実行します:
```
openssl x509 -in ad_ldap_server.pem -text -noout
```
注: 通常、「サブジェクト」または「サブジェクトの別名」フィールドには、Active Directory サーバーの「完全修飾ドメイン名 ( FQDN ) 」が含まれています。
エラー・メッセージが表示された場合は、ブラウザーのキャッシュをクリアして、再度ログインを試行します。

Related Information

QRadar: Configuring LDAP authentication with SSL option fails with a certificat…

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.3.3;7.4.0;7.4.1;7.4.2"}]

Tips