NetWorker:ラウンド ロビンDC環境でAUTHCが「unable to find valid certification path to requested target」で失敗する
Summary: NetWorker AUTHCを使用してAD over LDAPS(SSL)認証を構成しようとしています。SSLに必要な証明書をJava/NRE cacertsキーストアにインポートする手順に従った後、外部機関リソースの作成中にエラーが受信されます。LDAPSサーバーへの接続中にSSLハンドシェイク エラーが発生しました。要求されたターゲットへの有効な認定パスを見つけることができません。このKBは、DNS/DC構成でラウンド ロビンが使用されている場合に固有です。 ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- AD over SSL(LDAPS)をNetWorker AUTHCと統合しようとしています。
- KB NetWorkerからのプロセス: LDAPS認証を構成する方法 に従いました
メモ: ADサーバーからのCA証明書をNetWorker JRE/NREにインポートする必要があります。AUTHCと認証サーバー間のSSL通信を確立するための/lib/sercurity/cacertsキーストア。
- 構成は次のエラーで失敗します。
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- ラウンド ロビン構成で異なるDCに接続するADサーバーに「エイリアス」を使用している。
Cause
インポートされた証明書はラウンド ロビン エイリアスFQDNに関連づけられています。ただし、構成はラウンド ロビン構成の特定のサーバーにSSLバインドしようとしています。
たとえば、「ad-ldap.emclab.local」は、環境内の複数のDCホストをポイントするラウンド ロビン エイリアスとしてDNSで構成されます。エイリアスを使用してopensslを使用して証明書を収集すると、ラウンド ロビンを使用して使用可能なホスト(「dc1.emclab.local」)の1つの証明書が返されます。
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
ラウンド ロビン エイリアス「ad-ldap.emclab.local」を使用して証明書をJRE/NRE cacertsキーストアにインポートした場合、名前の不一致により、構成は「dc1.emclab.local」またはその他のサーバーと一致しません。
Resolution
LDAP( 非SSL )接続ではラウンド ロビン エイリアスを使用できます。これは証明書を使用しないため、SSLエラーは発生しません。
SSL認証を使用するには、証明書エイリアスが接続先のホストと一致する必要があります。ラウンド ロビン構成の特定のDCホストの1つのCA証明書をインポートし、認証要求のためにそのDCのみをポイントするようにNetWorker authcを構成します。オプションで、ラウンド ロビンDC構成の各ホストの証明書をインポートできます。最初に構成されたホストに問題がある場合は、証明書がすでにインポートされている他のDCサーバーをポイントするように構成を更新できます。
見る:NetWorker:NWUI(NetWorker Webユーザー インターフェイス)から「AD over SSL」(LDAPS)を構成する方法
メモ: ラウンド ロビンは、環境内でリクエストのロード バランシングを構成できます。この構成では、同じFQDNを使用して複数のDNSエントリーを使用しますが、複数の異なるホストIPをポイントします。これは通常、複数のリクエサーからのリクエストを処理する可能性のあるWebベースのアプリケーションで使用されます。
SSL認証を使用するには、証明書エイリアスが接続先のホストと一致する必要があります。ラウンド ロビン構成の特定のDCホストの1つのCA証明書をインポートし、認証要求のためにそのDCのみをポイントするようにNetWorker authcを構成します。オプションで、ラウンド ロビンDC構成の各ホストの証明書をインポートできます。最初に構成されたホストに問題がある場合は、証明書がすでにインポートされている他のDCサーバーをポイントするように構成を更新できます。
見る:NetWorker:NWUI(NetWorker Webユーザー インターフェイス)から「AD over SSL」(LDAPS)を構成する方法
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.