NetWorker: AUTHC kończy się niepowodzeniem z komunikatem "unable to find valid certification path to requested target" (Nie można znaleźć prawidłowej ścieżki certyfikacji do żądanego celu) w środowisku okrężnym DC
Summary: Próbujesz skonfigurować uwierzytelnianie AD przez LDAPS (SSL) przy użyciu NetWorker AUTHC. Po wykonaniu procedury importowania certyfikatu wymaganego dla SSL do magazynu kluczy Cacerts Java/NRE podczas tworzenia zasobu zewnętrznego urzędu pojawia się błąd: Wystąpił błąd handshake SSL podczas próby nawiązania połączenia z serwerem LDAPS: nie można znaleźć prawidłowej ścieżki certyfikacji do żądanego celu. Ten artykuł kb jest specyficzny w przypadku korzystania z okrężnego w konfiguracji DNS/DC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Próbujesz zintegrować usługę AD przez SSL (LDAPS) z NetWorker AUTHC.
- Proces z BAZY wiedzy NetWorker: Jak skonfigurować uwierzytelnianie LDAPS
UWAGA: Certyfikat urzędu certyfikacji z serwera AD należy zaimportować do środowiska NetWorker JRE/NRE. /lib/tegority/cacerts keystore w celu ustanowienia komunikacji SSL między AUTHC i serwerem uwierzytelniania.
- Konfiguracja kończy się niepowodzeniem z następującymi problemami:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Używasz "aliasu" dla serwera AD, który łączy się z różnymi kontrolerami DOMENY w konfiguracji okrężnej.
Cause
Importowany certyfikat jest powiązany z aliasem FQDN okrężnym; jednak konfiguracja próbuje powiązać SSL z określonym serwerem w konfiguracji okrężnej.
Na przykład, gdzie "ad-ldap.emclab.local" jest skonfigurowany w systemie DNS jako alias okrężny, który wskazuje kilka hostów DC w środowisku. Zebranie certyfikatu przy użyciu opensl podczas korzystania z aliasu zwróci certyfikat dla jednego z hostów ("dc1.emclab.local") dostępnych za pośrednictwem okrężnego robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Jeśli certyfikat zostanie zaimportowany do magazynu kluczy CACERT JRE/NRE przy użyciu aliasu okrężnego "ad-ldap.emclab.local", konfiguracja nie będzie w stanie dopasować się do "dc1.emclab.local" lub dowolnego innego serwera w konfiguracji okrężnej ze względu na niezgodność nazwy.
Resolution
Można użyć aliasu okrężnego w połączeniach innych niż SSL (LDAP), ponieważ nie używa on żadnych certyfikatów i nie spowoduje błędu SSL.
Aby można było korzystać z uwierzytelniania SSL, alias certyfikatu musi być zgodny z hostem, z który się łączy. Zaimportuj certyfikat urzędu certyfikacji dla jednego z określonych hostów DC w konfiguracji okrężnej i skonfiguruj NetWorker authc tak, aby wskazywał tylko ten kontroler domeny dla żądań uwierzytelniania; opcjonalnie można zaimportować certyfikaty dla każdego hosta w konfiguracji okrężnego kontrolera DC. W przypadku wystąpienia problemu z początkowym skonfigurowanym hostem można zaktualizować konfigurację, aby wskazać drugi serwer dc, dla którego certyfikat został już zaimportowany.
Zobacz: NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)
UWAGA: Okrężna może być skonfigurowana do żądań równoważenia obciążenia w środowisku. Ta konfiguracja wykorzystuje wiele wpisów DNS przy użyciu tej samej nazwy FQDN, ale wskazuje wiele różnych adresów IP hosta. Zazwyczaj korzysta on z aplikacji internetowych, które mogą przetwarzać żądania od wielu żądań.
Aby można było korzystać z uwierzytelniania SSL, alias certyfikatu musi być zgodny z hostem, z który się łączy. Zaimportuj certyfikat urzędu certyfikacji dla jednego z określonych hostów DC w konfiguracji okrężnej i skonfiguruj NetWorker authc tak, aby wskazywał tylko ten kontroler domeny dla żądań uwierzytelniania; opcjonalnie można zaimportować certyfikaty dla każdego hosta w konfiguracji okrężnego kontrolera DC. W przypadku wystąpienia problemu z początkowym skonfigurowanym hostem można zaktualizować konfigurację, aby wskazać drugi serwer dc, dla którego certyfikat został już zaimportowany.
Zobacz: NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.