NetWorker: AUTHC schlägt mit "Unable to find valid certification path to requested target" in der Round-Robin-DC-Umgebung fehl.
Summary: Sie versuchen, die Authentifizierung von AD über LDAPS (SSL) mit NetWorker AUTHC zu konfigurieren. Nachdem Sie das Verfahren zum Importieren des für SSL erforderlichen Zertifikats in den Java/NRE-Cacerts-Keystore durchgeführt haben, wird beim Erstellen der externen Autoritätsressource ein Fehler angezeigt: Beim Versuch, eine Verbindung zum LDAPS-Server herzustellen, ist ein SSL-Handshake-Fehler aufgetreten: Es konnte kein gültiger Zertifizierungspfad für das angeforderte Ziel gefunden werden. Dieser Wissensdatenbank-Artikel ist spezifisch für den Zeitpunkt, an dem round robin in der DNS/DC-Konfiguration verwendet wird. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Sie versuchen, AD over SSL (LDAPS) in NetWorker AUTHC zu integrieren.
- Der Prozess von KB NetWorker: Anleitung zum Konfigurieren der LDAPS-Authentifizierung wurde befolgt
HINWEIS: Das CA-Zertifikat vom AD-Server muss in NetWorker JRE/NRE importiert werden. /lib/sercurity/cacerts Keystore, um die SSL-Kommunikation zwischen AUTHC und dem Authentifizierungsserver herzustellen.
- Die Konfiguration schlägt fehl mit:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Sie verwenden einen "Alias" für den AD-Server, der in einer Round-Robin-Konfiguration eine Verbindung zu verschiedenen DCs herstellt.
Cause
Das importierte Zertifikat ist mit dem Round-Robin-Alias-FQDN verknüpft. Die Konfiguration versucht jedoch, eine SSL-Bindung an einen bestimmten Server in der Round-Robin-Konfiguration durchzuführen.
Beispiel: "ad-ldap.emclab.local" wird im DNS als Round-Robin-Alias konfiguriert, der auf mehrere DC-Hosts in der Umgebung verweist. Durch das Erfassen des Zertifikats mit openssl während der Verwendung des Alias wird das Zertifikat für einen der Hosts ("dc1.emclab.local") zurückgegeben, die über Round Robin verfügbar sind.
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Wenn das Zertifikat mit dem Round-Robin-Alias "ad-ldap.emclab.local" in den JRE/NRE-Cacerts-Keystore importiert wird, kann die Konfiguration aufgrund der Nichtübereinstimmung des Namens nicht mit dem "dc1.emclab.local" oder einem anderen Server in der Round-Robin-Konfiguration übereinstimmen.
Resolution
Sie können einen Round-Robin-Alias in Nicht-SSL-Verbindungen (LDAP) verwenden, da dies keine Zertifikate verwendet und nicht zu einem SSL-Fehler führt.
Um die SSL-Authentifizierung zu nutzen, muss der Zertifikatalias mit dem Host übereinstimmen, mit dem er eine Verbindung herstellt. Importieren Sie das CA-Zertifikat für einen der spezifischen DC-Hosts in der Round-Robin-Konfiguration und konfigurieren Sie NetWorker authc so, dass es nur auf diesen DC für Authentifizierungsanforderungen verweist. optional können Sie die Zertifikate für jeden Host in der Round-Robin-DC-Konfiguration importieren. Falls ein Problem mit dem anfänglich konfigurierten Host auftritt, können Sie die Konfiguration aktualisieren, um auf den anderen DC-Server zu verweisen, für den das Zertifikat bereits importiert wurde.
Siehe: NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webbenutzeroberfläche (NWUI)
HINWEIS: Round Robin kann für Lastenausgleichsanforderungen in einer Umgebung konfiguriert werden. Diese Konfiguration würde mehrere DNS-Einträge verwenden, die denselben FQDN verwenden, aber auf mehrere verschiedene Host-IPs verweisen. Dies wird in der Regel in webbasierten Anwendungen verwendet, die möglicherweise Anfragen von mehreren Anforderern verarbeiten.
Um die SSL-Authentifizierung zu nutzen, muss der Zertifikatalias mit dem Host übereinstimmen, mit dem er eine Verbindung herstellt. Importieren Sie das CA-Zertifikat für einen der spezifischen DC-Hosts in der Round-Robin-Konfiguration und konfigurieren Sie NetWorker authc so, dass es nur auf diesen DC für Authentifizierungsanforderungen verweist. optional können Sie die Zertifikate für jeden Host in der Round-Robin-DC-Konfiguration importieren. Falls ein Problem mit dem anfänglich konfigurierten Host auftritt, können Sie die Konfiguration aktualisieren, um auf den anderen DC-Server zu verweisen, für den das Zertifikat bereits importiert wurde.
Siehe: NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webbenutzeroberfläche (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.