NetWorker. Сбой AUTHC с ошибкой «unable to find valid certification path to requested target» в среде циклической переборки DC
Zusammenfassung: Вы пытаетесь настроить аутентификацию AD over LDAPS (SSL) с помощью NetWorker AUTHC. После выполнения процедуры импорта сертификата, необходимого для SSL, в хранилище ключей cacerts Java/NRE возникает ошибка при создании внешнего ресурса полномочий: При попытке подключения к серверу LDAPS произошла ошибка подтверждения SSL: не удалось найти действительный путь сертификации к запрашиваемой целевой системе. Эта статья базы знаний предназначена для того, когда в конфигурации DNS/DC используется циклический перебор. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
- Вы пытаетесь интегрировать AD over SSL (LDAPS) с NetWorker AUTHC.
- Процесс из статьи базы знаний NetWorker: Как настроить аутентификацию LDAPS , выполните
ПРИМЕЧАНИЕ. Сертификат центра сертификации с сервера AD необходимо импортировать в NetWorker JRE/NRE. Хранилище ключей /lib/sercurity/cacerts для установления SSL-связи между AUTHC и сервером аутентификации.
- Сбой конфигурации со следующими ошибками:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Используется псевдоним для сервера AD, который подключается к различным контроллерам домена в конфигурации циклического перебора.
Ursache
Импортированные сертификаты связаны с FQDN-псевдонимом циклической переборки. однако конфигурация пытается выполнить привязку SSL к определенному серверу в конфигурации циклической переборки.
Например, где «ad-ldap.emclab.local» настроен в DNS как псевдоним циклической переборки, который указывает на несколько хостов dc в среде. Сбор сертификата с помощью openssl при использовании псевдонима возвращает сертификат для одного из хостов («dc1.emclab.local»), доступный в рамках циклической переборки
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
При импорте сертификата в хранилище ключей JRE/NRE cacerts с использованием циклический перебор псевдонима «ad-ldap.emclab.local» конфигурация не сможет сопоставить «dc1.emclab.local» или любой другой сервер в конфигурации циклической переборки из-за несоответствия имен.
Lösung
В подключениях без протокола SSL (LDAP) можно использовать циклический перебор псевдонимов, так как это не использует никаких сертификатов и не приводит к ошибке SSL.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
ПРИМЕЧАНИЕ. Циклический перебор можно настроить для запросов балансировки нагрузки в среде. В этой конфигурации будут использоваться несколько записей DNS с использованием одного и того же FQDN, но будут показаны несколько разных IP-адресов хостов. Обычно это используется в веб-приложениях, которые могут обрабатывать запросы от нескольких инициаторов запросов.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
Weitere Informationen
Betroffene Produkte
NetWorkerArtikeleigenschaften
Artikelnummer: 000187608
Artikeltyp: Solution
Zuletzt geändert: 23 Mai 2025
Version: 3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.