NetWorker: O AUTHC falha com o erro "unable to find valid certification path to requested target" (não foi possível localizar o caminho de certificação válido para o destino solicitado) no ambiente de round-robin DC
Summary: Você está tentando configurar o AD via autenticação LDAPS (SSL) com o NetWorker AUTHC. Depois de seguir o procedimento para importar o certificado necessário para SSL para o keystore Java/NRE cacerts, um erro é recebido durante a criação do recurso de autoridade externa: Ocorreu um erro de handshake SSL ao tentar se conectar ao servidor LDAPS: unable to find valid certification path to requested target. Essa KB é específica para quando round-robin está sendo usado na configuração de DNS/DC. ...
Αυτό το άρθρο ισχύει για
Αυτό το άρθρο δεν ισχύει για
Αυτό το άρθρο δεν συνδέεται με κάποιο συγκεκριμένο προϊόν.
Δεν προσδιορίζονται όλες οι εκδόσεις προϊόντων σε αυτό το άρθρο.
Symptoms
- Você está tentando integrar o AD via SSL (LDAPS) ao NetWorker AUTHC.
- O processo do NetWorker da KB: Como configurar a autenticação LDAPS foi seguida
Nota: O certificado ca do servidor do AD precisa ser importado para o NetWorker JRE/NRE. /lib/sercurity/cacerts keystore para estabelecer a comunicação SSL entre o AUTHC e o servidor de autenticação.
- A configuração falha com:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Você está usando um "alias" para o servidor do AD que se conecta a diferentes DCs em uma configuração round-robin.
Cause
O certificado importado está vinculado ao FQDN de alias round-robin; No entanto, a configuração está tentando vincular o SSL a um servidor específico na configuração round-robin.
Por exemplo, onde "ad-ldap.emclab.local" é configurado no DNS como um alias round-robin que aponta para vários hosts DC no ambiente. Coletar o certificado com openssl ao usar o alias retornará o certificado para um dos hosts ("dc1.emclab.local") disponíveis por meio de round-robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Se o certificado for importado para o keystore do JRE/NRE cacerts usando o alias round robin "ad-ldap.emclab.local", a configuração não poderá corresponder ao "dc1.emclab.local" ou a qualquer outro servidor na configuração round-robin devido à disparidade de nomes.
Resolution
Você pode utilizar um alias round-robin em conexões não SSL (LDAP), pois isso não usa nenhum certificado e não resultará em um erro de SSL.
Para utilizar a autenticação SSL, o alias do certificado deve corresponder ao host ao qual ele está se conectando. Importe o certificado da CA para um dos hosts DC específicos na configuração round-robin e configure o NetWorker authc para apontar apenas para esse DC para solicitações de autenticação; opcionalmente, você pode importar os certificados para cada host na configuração de ROUND ROBIN DC. Caso haja um problema com o host configurado inicialmente, você pode atualizar a configuração para apontar para o outro servidor DC para o qual o certificado já foi importado.
Ver: NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
Nota: O Round Robin pode ser configurado para as solicitações de balanceamento de carga em um ambiente. Essa configuração usaria várias entradas DNS usando o mesmo FQDN, mas apontando para vários IPs de host diferentes. Normalmente, ele tem seus usos em aplicativos baseados na Web que podem estar processando solicitações de vários solicitantes.
Para utilizar a autenticação SSL, o alias do certificado deve corresponder ao host ao qual ele está se conectando. Importe o certificado da CA para um dos hosts DC específicos na configuração round-robin e configure o NetWorker authc para apontar apenas para esse DC para solicitações de autenticação; opcionalmente, você pode importar os certificados para cada host na configuração de ROUND ROBIN DC. Caso haja um problema com o host configurado inicialmente, você pode atualizar a configuração para apontar para o outro servidor DC para o qual o certificado já foi importado.
Ver: NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
Additional Information
Επηρεαζόμενα προϊόντα
NetWorkerΙδιότητες άρθρου
Article Number: 000187608
Article Type: Solution
Τελευταία τροποποίηση: 23 Μαΐ 2025
Version: 3
Βρείτε απαντήσεις στις ερωτήσεις σας από άλλους χρήστες της Dell
Υπηρεσίες υποστήριξης
Ελέγξτε αν η συσκευή σας καλύπτεται από τις Υπηρεσίες υποστήριξης.