PAM:  AD アカウントの検証を行うと不定期に PAM-CM-3433 エラーが発生する
search cancel

PAM:  AD アカウントの検証を行うと不定期に PAM-CM-3433 エラーが発生する

book

Article ID: 278415

calendar_today

Updated On:

Products

CA Privileged Access Manager (PAM)

Issue/Introduction

Privileged Access Manager ( 以下、 PAM) で ActiveDirectory のターゲットアカウントのパスワードを検証すると、非定期に以下のエラーメッセージが返ってくることがある。

PAM-CM-3433: Certificate cannot be retrieved from the domain controller

Environment

Privileged Access Manager: All versions

Cause

tomcat には以下のエラーが記録されていました。
このエラーは 複数のドメインコントローラの中の一つが正しい証明書を持っていないことを示しています。

2022-09-27T18:29:53.159+0000 WARNING [com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager] com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.getAndSaveSSLCertificate Failed to retrieve certificate from DC at 'null, hostName=<ドメインコントローラ3>.example.com, port=636', port=636
2022-09-27T18:29:53.159+0000 SEVERE [com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager] com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.loginToActiveDirectoryServer Failed authentication to Active Directory using account <TargetAccountOnDomain>
 com.cloakware.cspm.server.app.ApplicationException: PAM-CM-3433: Certificate cannot be retrieved from the domain controller
  at com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.getAndSaveSSLCertificate(WindowsDomainServiceTargetManager.java:1345)
  at com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.loginToActiveDirectoryServer(WindowsDomainServiceTargetManager.java:1189)
  at com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.verifyPasswordInActiveDirectory(WindowsDomainServiceTargetManager.java:793)
  at com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.verifyCredentials(WindowsDomainServiceTargetManager.java:756)
  at com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.performUpdate(WindowsDomainServiceTargetManager.java:1910)
  at com.cloakware.cspm.server.app.TargetManager.run(TargetManager.java:676)
 Caused by: com.cloakware.cspm.server.app.ApplicationException: PAM-CM-3433: Certificate cannot be retrieved from the domain controller
  at com.cloakware.cspm.server.plugin.targetmanager.WindowsDomainServiceTargetManager.getAndSaveSSLCertificate(WindowsDomainServiceTargetManager.java:1340)
  ... 5 more

Resolution

ドメイン内のドメインコントローラはすべて正しい証明書が適用されていることが必要です。
設定をご確認ください。

Additional Information

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 252325: PAM-CM-3433 Intermittently Occurring When Verifying AD Accounts

Powered by Wolken Software