NetWorker: Funkce AUTHC selže v prostředí kruhového dotazování DC a "unable to find valid certification path to requested target"
Shrnutí: Pokoušíte se nakonfigurovat ověřování AD přes protokol LDAPS (SSL) pomocí technologie NetWorker AUTHC. Po provedení postupu importu certifikátu požadovaného pro protokol SSL do úložiště klíčů Java/NRE dojde při vytváření zdroje externí autority k chybě: Při pokusu o připojení k serveru LDAPS došlo k chybě handshake SSL: Unable to find valid certification path to requested target. Tento článek databáze znalostí je specifický pro použití kruhového dotazování v konfiguraci DNS/DC. ...
Tento článek se vztahuje na
Tento článek se nevztahuje na
Tento článek není vázán na žádný konkrétní produkt.
V tomto článku nejsou uvedeny všechny verze produktu.
Příznaky
- Pokoušíte se integrovat službu AD přes SSL (LDAPS) s technologií NetWorker AUTHC.
- Postup od kb NetWorker: Byl dodržen postup konfigurace ověřování LDAPS
POZNÁMKA: Certifikát CA ze serveru AD je třeba importovat do prostředí NetWorker JRE/NRE. /lib/sercurity/cacerts keystore za účelem vytvoření komunikace SSL mezi AUTHC a ověřovacím serverem.
- Konfigurace se nezdaří a:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Používáte "alias" pro server AD, který se připojuje k různým řadičům domény v konfiguraci kruhového dotazování.
Příčina
Importovaný certifikát je vázán na alias kruhového dotazování FQDN. konfigurace se však pokouší vytvořit vazbu SSL na konkrétní server v konfiguraci kruhového dotazování.
Například kde je soubor "ad-ldap.emclab.local" nakonfigurován v systému DNS jako alias kruhového dotazování, který odkazuje na několik hostitelů DC v prostředí. Shromažďování certifikátu pomocí příkazu openssl při použití aliasu vrátí certifikát pro jednoho z hostitelů ("dc1.emclab.local"), který je dostupný prostřednictvím kruhového dotazování.
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Pokud je certifikát importován do úložiště klíčů JRE/NRE cacerts pomocí aliasu kruhového dotazování "ad-ldap.emclab.local", konfigurace nebude schopna kvůli neshodě názvu odpovídat souboru "dc1.emclab.local" ani jinému serveru v konfiguraci kruhového dotazování.
Řešení
Alias kruhového dotazování můžete použít v připojeních, která nejsou typu SSL (LDAP), protože nevyužívá žádné certifikáty a nezpůsobí chybu SSL.
Chcete-li použít ověřování SSL, musí alias certifikátu odpovídat hostiteli, ke kterému se připojuje. Importujte certifikát CA pro jednoho z konkrétních hostitelů DC v konfiguraci kruhového dotazování a nakonfigurujte server NetWorker authc tak, aby odkazovat pouze na daný řadič domény pro požadavky na ověření; volitelně můžete importovat certifikáty pro každého hostitele v konfiguraci kruhového dotazování řadiče domény. V případě, že došlo k problému s počáteční konfigurací hostitele, můžete aktualizovat konfiguraci tak, aby odkazovala na druhý server DC, pro který byl certifikát již importován.
Viz: NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)
POZNÁMKA: Kruhové dotazování lze konfigurovat na požadavky vyrovnávání zatížení v prostředí. Tato konfigurace by používala více položek DNS se stejným názvem FQDN, ale odkazoval na několik různých IP adres hostitele. Obvykle se používá ve webových aplikacích, které mohou zpracovávat požadavky od více žadatelů.
Chcete-li použít ověřování SSL, musí alias certifikátu odpovídat hostiteli, ke kterému se připojuje. Importujte certifikát CA pro jednoho z konkrétních hostitelů DC v konfiguraci kruhového dotazování a nakonfigurujte server NetWorker authc tak, aby odkazovat pouze na daný řadič domény pro požadavky na ověření; volitelně můžete importovat certifikáty pro každého hostitele v konfiguraci kruhového dotazování řadiče domény. V případě, že došlo k problému s počáteční konfigurací hostitele, můžete aktualizovat konfiguraci tak, aby odkazovala na druhý server DC, pro který byl certifikát již importován.
Viz: NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)
Další informace
Dotčené produkty
NetWorkerVlastnosti článku
Číslo článku: 000187608
Typ článku: Solution
Poslední úprava: 23 May 2025
Verze: 3
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.