NetWorker: AUTHC зазнає невдачі з «не вдалося знайти дійсний шлях сертифікації до запитуваної цілі» в круговому середовищі DC
Summary: Ви намагаєтеся налаштувати автентифікацію AD через LDAPS (SSL) за допомогою NetWorker AUTHC. Після виконання процедури імпорту сертифіката, необхідного для SSL, у сховище ключів Java/NRE cacerts з'являється помилка під час створення ресурсу зовнішнього авторитету: Під час спроби з'єднатися з сервером LDAPS сталася помилка SSL-рукостискання: не вдалося знайти дійсний шлях сертифікації до запитуваної цілі. Ця база даних є специфічною для випадків, коли в конфігурації DNS/DC використовується кругова система. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Ви намагаєтеся інтегрувати AD через SSL (LDAPS) з NetWorker AUTHC.
- Процес від KB NetWorker: Як налаштувати розпізнавання LDAPS
ПРИМІТКА: Сертифікат ЦС з сервера AD потрібно імпортувати в NetWorker JRE/NRE .. /lib/sercurity/cacerts для встановлення SSL-зв'язку між AUTHC та сервером автентифікації.
- Конфігурація завершується невдачею:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Ви використовуєте «псевдонім» для сервера AD, який з'єднується з різними DC за круговою системою.
Cause
Імпортований сертифікат прив'язаний до кругової системи під псевдонімом FQDN; однак конфігурація намагається прив'язати SSL до певного сервера в конфігурації за круговою системою.
Наприклад, де "ad-ldap.emclab.local" налаштовано в DNS як псевдонім за круговою системою, який вказує на кілька хостів DC у середовищі. Отримання сертифіката з openssl під час використання псевдоніма поверне сертифікат для одного з хостів ("dc1.emclab.local"), доступного за круговою системою
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Якщо сертифікат імпортовано до сховища ключів JRE/NRE cacerts з використанням назви за круговою системою "ad-ldap.emclab.local", налаштування не зможуть знайти "dc1.emclab.local" або будь-який інший сервер у конфігурації за круговою системою через невідповідність назви.
Resolution
Ви можете використовувати круговий псевдонім у з'єднаннях, відмінних від SSL (LDAP), оскільки це не використовує жодних сертифікатів і не призводить до помилки SSL .
Щоб використовувати автентифікацію SSL, псевдонім сертифіката має збігатися з хостом, до якого він підключається. Імпортуйте сертифікат ЦС для одного з конкретних хостів DC у конфігурації за круговою системою та налаштуйте NetWorker authc так, щоб він вказував лише на цей DC для запитів на автентифікацію; За бажанням, ви можете імпортувати сертифікати для кожного вузла у конфігурації DC за круговою системою. Якщо виникла проблема з початково налаштованим хостом, ви можете оновити налаштування, щоб вони вказували на інший сервер DC, для якого сертифікат вже було імпортовано.
Бачити: NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
ПРИМІТКА: Round Robin можна налаштувати на запити балансу навантаження в середовищі. У цій конфігурації буде використано декілька записів DNS, які використовують один і той самий FQDN, але вказують на декілька різних IP-адрес вузлів. Зазвичай це використовується у веб-додатках, які можуть обробляти запити від кількох запитувачів.
Щоб використовувати автентифікацію SSL, псевдонім сертифіката має збігатися з хостом, до якого він підключається. Імпортуйте сертифікат ЦС для одного з конкретних хостів DC у конфігурації за круговою системою та налаштуйте NetWorker authc так, щоб він вказував лише на цей DC для запитів на автентифікацію; За бажанням, ви можете імпортувати сертифікати для кожного вузла у конфігурації DC за круговою системою. Якщо виникла проблема з початково налаштованим хостом, ви можете оновити налаштування, щоб вони вказували на інший сервер DC, для якого сертифікат вже було імпортовано.
Бачити: NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.