NetWorker : Échec de l’AUTHC avec l’erreur « unable to find valid certification path to requested target » dans l’environnement DC à permutation circulaire
Summary: Vous tentez de configurer l’authentification AD sur LDAPS (SSL) avec NetWorker AUTHC. Après avoir suivi la procédure d’importation du certificat requis pour SSL dans le magasin de certificats Cacerts Java/NRE, une erreur s’affiche lors de la création de la ressource de l’autorité externe : Une erreur d’établissement de liaison SSL s’est produite lors de la tentative de connexion au serveur LDAPS : impossible de trouver le chemin de certification valide vers la cible demandée. Cet article de la base de connaissances est spécifique à l’utilisation de la permutation circulaire dans la configuration DNS/DC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Vous tentez d’intégrer AD over SSL (LDAPS) avec NetWorker AUTHC.
- Le processus de la base de connaissances NetWorker : Comment configurer l’authentification LDAPS a été suivie
Remarque : Le certificat d’autorité de certification du serveur AD doit être importé dans netWorker JRE/NRE. /lib/sercurity/cacerts keystore afin d’établir la communication SSL entre AUTHC et le serveur d’authentification.
- La configuration échoue avec :
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Vous utilisez un « alias » pour le serveur AD qui se connecte à différents contrôleurs de domaine dans une configuration à permutation circulaire.
Cause
Le certificat importé est lié au nom de domaine complet de l’alias de permutation circulaire. Toutefois, la configuration tente de lier SSL à un serveur spécifique dans la configuration à permutation circulaire.
Par exemple, où « ad-ldap.emclab.local » est configuré dans DNS en tant qu’alias de permutation circulaire qui pointe vers plusieurs hôtes DC dans l’environnement. La collecte du certificat avec openssl lors de l’utilisation de l’alias renvoie le certificat pour l’un des hôtes (« dc1.emclab.local ») disponibles par permutation circulaire
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Si le certificat est importé dans le magasin de certificats cacerts JRE/NRE à l’aide de l’alias de permutation circulaire « ad-ldap.emclab.local », la configuration ne pourra pas correspondre à « dc1.emclab.local » ou à tout autre serveur dans la configuration à permutation circulaire en raison d’une non-correspondance de nom.
Resolution
Vous pouvez utiliser un alias de permutation circulaire dans les connexions non SSL (LDAP), car cela n’utilise aucun certificat et n’entraîne pas d’erreur SSL.
Pour utiliser l’authentification SSL, l’alias de certificat doit correspondre à l’hôte auquel il se connecte. Importez le certificat d’autorité de certification pour l’un des hôtes DC spécifiques dans la configuration à permutation circulaire et configurez NetWorker authc pour qu’il pointe uniquement vers ce contrôleur de domaine pour les demandes d’authentification. Si vous le souhaitez, vous pouvez importer les certificats pour chaque hôte dans la configuration CC à permutation circulaire. En cas de problème avec l’hôte initialement configuré, vous pouvez mettre à jour la configuration pour pointer vers l’autre serveur DC pour lequel le certificat a déjà été importé.
Voir: NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)
Remarque : La permutation circulaire peut être configurée pour équilibrer la charge des demandes dans un environnement. Cette configuration utilise plusieurs entrées DNS utilisant le même FQDN, mais pointe vers plusieurs adresses IP hôtes différentes. Il est généralement utilisé dans des applications Web qui peuvent traiter des demandes provenant de plusieurs demandeurs.
Pour utiliser l’authentification SSL, l’alias de certificat doit correspondre à l’hôte auquel il se connecte. Importez le certificat d’autorité de certification pour l’un des hôtes DC spécifiques dans la configuration à permutation circulaire et configurez NetWorker authc pour qu’il pointe uniquement vers ce contrôleur de domaine pour les demandes d’authentification. Si vous le souhaitez, vous pouvez importer les certificats pour chaque hôte dans la configuration CC à permutation circulaire. En cas de problème avec l’hôte initialement configuré, vous pouvez mettre à jour la configuration pour pointer vers l’autre serveur DC pour lequel le certificat a déjà été importé.
Voir: NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.