NetWorker: AUTHC falla con el mensaje "unable to find valid certification path to requested target" en el entorno de DC round-robin
Summary: Está intentando configurar AD mediante la autenticación LDAPS (SSL) con NetWorker AUTHC. Después de seguir el procedimiento para importar el certificado necesario para SSL en el almacén de claves cacerts de Java/NRE, se recibe un error durante la creación del recurso de autoridad externa: Se produjo un error de protocolo de enlace SSL al intentar conectarse al servidor LDAPS: no se puede encontrar una ruta de certificación válida al destino solicitado. Este artículo de la base de conocimientos es específico para cuando se utiliza round robin en la configuración de DNS/DC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Está intentando integrar AD mediante SSL (LDAPS) con NetWorker AUTHC.
- El proceso de KB NetWorker: Se siguió cómo configurar la autenticación ldaps
NOTA: El certificado de CA del servidor de AD se debe importar a JRE/NRE de NetWorker. Almacenamiento de claves /lib/sercurity/cacerts para establecer la comunicación SSL entre AUTHC y el servidor de autenticación.
- La configuración falla con lo siguiente:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Está utilizando un "alias" para el servidor de AD que se conecta a diferentes DC en una configuración round-robin.
Cause
El certificado importado está vinculado al FQDN de alias round-robin; sin embargo, la configuración está tratando de vincular SSL a un servidor específico en la configuración round-robin.
Por ejemplo, donde "ad-ldap.emclab.local" está configurado en DNS como un alias round robin que apunta a varios hosts de DC en el ambiente. La recopilación del certificado con openssl mientras se usa el alias devolverá el certificado para uno de los hosts ("dc1.emclab.local") disponible a través de round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Si el certificado se importa al almacén de claves cacerts de JRE/NRE mediante el alias round robin "ad-ldap.emclab.local", la configuración no podrá coincidir con "dc1.emclab.local" ni con ningún otro servidor en la configuración round-robin debido a la incompatibilidad de nombres.
Resolution
Puede utilizar un alias round-robin en conexiones no SSL (LDAP), ya que esto no utiliza ningún certificado y no generará un error SSL.
Para utilizar la autenticación SSL, el alias del certificado debe coincidir con el host al que se está conectando. Importe el certificado de CA para uno de los hosts de DC específicos en la configuración round-robin y configure NetWorker authc para que apunte solo a esa DC para las solicitudes de autenticación; de manera opcional, puede importar los certificados para cada host en la configuración de DC round-robin. En caso de que haya un problema con el host configurado inicialmente, puede actualizar la configuración para que señale al otro servidor de DC para el cual ya se importó el certificado.
Ver: NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)
NOTA: Round Robin se puede configurar para balancear la carga de las solicitudes en un ambiente. Esta configuración utilizaría varias entradas de DNS con el mismo FQDN, pero apuntaría a varias DIRECCIONES IP de host diferentes. Por lo general, esto tiene sus usos en aplicaciones basadas en web que pueden estar procesando solicitudes de varios solicitantes.
Para utilizar la autenticación SSL, el alias del certificado debe coincidir con el host al que se está conectando. Importe el certificado de CA para uno de los hosts de DC específicos en la configuración round-robin y configure NetWorker authc para que apunte solo a esa DC para las solicitudes de autenticación; de manera opcional, puede importar los certificados para cada host en la configuración de DC round-robin. En caso de que haya un problema con el host configurado inicialmente, puede actualizar la configuración para que señale al otro servidor de DC para el cual ya se importó el certificado.
Ver: NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.