NetWorker: AUTHC ha esito negativo con errore "unable to find valid certification path to requested target" nell'ambiente round robin DC
Summary: Si sta tentando di configurare l'autenticazione AD su LDAPS (SSL) con NetWorker AUTHC. Dopo aver seguito la procedura per l'importazione del certificato richiesto per SSL nel keystore cacerts Java/NRE, viene ricevuto un errore durante la creazione della risorsa dell'autorità esterna: Si è verificato un errore di handshake SSL durante il tentativo di connessione al server LDAPS: impossibile trovare un percorso di certificazione valido per la destinazione richiesta. Questo articolo della KB è specifico per quando viene utilizzato round robin nella configurazione DNS/DC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Si sta tentando di integrare AD su SSL (LDAPS) con NetWorker AUTHC.
- Il processo di KB NetWorker: Come configurare l'autenticazione LDAPS è stata seguita
NOTA: Il certificato CA dal server AD deve essere importato in NetWorker JRE/NRE. Keystore /lib/sercurity/cacerts per stabilire la comunicazione SSL tra AUTHC e il server di autenticazione.
- La configurazione ha esito negativo con:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Si utilizza un "alias" per il server AD che si connette a controller di dominio diversi in una configurazione round robin.
Cause
Il certificato importato è associato all'FQDN round robin alias; Tuttavia, la configurazione sta tentando di associare SSL a un server specifico nella configurazione round robin.
Ad esempio, dove "ad-ldap.emclab.local" è configurato in DNS come alias round robin che punta a più host DC nell'ambiente. La raccolta del certificato con openssl durante l'utilizzo dell'alias restituirà il certificato per uno degli host ("dc1.emclab.local") disponibile tramite round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Se il certificato viene importato nel keystore cacerts JRE/NRE utilizzando l'alias round robin "ad-ldap.emclab.local", la configurazione non sarà in grado di corrispondere a "dc1.emclab.local" o a qualsiasi altro server nella configurazione round robin a causa della mancata corrispondenza del nome.
Resolution
È possibile utilizzare un alias Round Robin nelle connessioni non SSL (LDAP), in quanto non vengono utilizzati certificati e non si verificherà un errore SSL.
Per utilizzare l'autenticazione SSL, l'alias del certificato deve corrispondere all'host a cui si sta connettendo. importare il certificato CA per uno degli host dc specifici nella configurazione round robin e configurare l'authc di NetWorker in modo che punti solo a tale dc per le richieste di autenticazione; facoltativamente, è possibile importare i certificati per ogni host nella configurazione round robin DC. Nel caso in cui si verifichi un problema con l'host inizialmente configurato, è possibile aggiornare la configurazione in modo che punti all'altro server di controller di dominio per il quale il certificato è già stato importato.
Vedere: NetWorker: Come configurare "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI)
NOTA: Round Robin può essere configurato per bilanciare il carico delle richieste in un ambiente. Questa configurazione utilizzerebbe più voci DNS utilizzando lo stesso FQDN, ma puntando a più IP host diversi. Questo ha in genere il suo utilizzo in applicazioni web-based che possono elaborare richieste di più richiedente.
Per utilizzare l'autenticazione SSL, l'alias del certificato deve corrispondere all'host a cui si sta connettendo. importare il certificato CA per uno degli host dc specifici nella configurazione round robin e configurare l'authc di NetWorker in modo che punti solo a tale dc per le richieste di autenticazione; facoltativamente, è possibile importare i certificati per ogni host nella configurazione round robin DC. Nel caso in cui si verifichi un problema con l'host inizialmente configurato, è possibile aggiornare la configurazione in modo che punti all'altro server di controller di dominio per il quale il certificato è già stato importato.
Vedere: NetWorker: Come configurare "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.