NetWorker: O AUTHC falha com o erro "unable to find valid certification path to requested target" (não foi possível localizar o caminho de certificação válido para o destino solicitado) no ambiente de round-robin DC
Summary: Você está tentando configurar o AD via autenticação LDAPS (SSL) com o NetWorker AUTHC. Depois de seguir o procedimento para importar o certificado necessário para SSL para o keystore Java/NRE cacerts, um erro é recebido durante a criação do recurso de autoridade externa: Ocorreu um erro de handshake SSL ao tentar se conectar ao servidor LDAPS: unable to find valid certification path to requested target. Essa KB é específica para quando round-robin está sendo usado na configuração de DNS/DC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Você está tentando integrar o AD via SSL (LDAPS) ao NetWorker AUTHC.
- O processo do NetWorker da KB: Como configurar a autenticação LDAPS foi seguida
Nota: O certificado ca do servidor do AD precisa ser importado para o NetWorker JRE/NRE. /lib/sercurity/cacerts keystore para estabelecer a comunicação SSL entre o AUTHC e o servidor de autenticação.
- A configuração falha com:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Você está usando um "alias" para o servidor do AD que se conecta a diferentes DCs em uma configuração round-robin.
Cause
O certificado importado está vinculado ao FQDN de alias round-robin; No entanto, a configuração está tentando vincular o SSL a um servidor específico na configuração round-robin.
Por exemplo, onde "ad-ldap.emclab.local" é configurado no DNS como um alias round-robin que aponta para vários hosts DC no ambiente. Coletar o certificado com openssl ao usar o alias retornará o certificado para um dos hosts ("dc1.emclab.local") disponíveis por meio de round-robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Se o certificado for importado para o keystore do JRE/NRE cacerts usando o alias round robin "ad-ldap.emclab.local", a configuração não poderá corresponder ao "dc1.emclab.local" ou a qualquer outro servidor na configuração round-robin devido à disparidade de nomes.
Resolution
Você pode utilizar um alias round-robin em conexões não SSL (LDAP), pois isso não usa nenhum certificado e não resultará em um erro de SSL.
Para utilizar a autenticação SSL, o alias do certificado deve corresponder ao host ao qual ele está se conectando. Importe o certificado da CA para um dos hosts DC específicos na configuração round-robin e configure o NetWorker authc para apontar apenas para esse DC para solicitações de autenticação; opcionalmente, você pode importar os certificados para cada host na configuração de ROUND ROBIN DC. Caso haja um problema com o host configurado inicialmente, você pode atualizar a configuração para apontar para o outro servidor DC para o qual o certificado já foi importado.
Ver: NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
Nota: O Round Robin pode ser configurado para as solicitações de balanceamento de carga em um ambiente. Essa configuração usaria várias entradas DNS usando o mesmo FQDN, mas apontando para vários IPs de host diferentes. Normalmente, ele tem seus usos em aplicativos baseados na Web que podem estar processando solicitações de vários solicitantes.
Para utilizar a autenticação SSL, o alias do certificado deve corresponder ao host ao qual ele está se conectando. Importe o certificado da CA para um dos hosts DC específicos na configuração round-robin e configure o NetWorker authc para apontar apenas para esse DC para solicitações de autenticação; opcionalmente, você pode importar os certificados para cada host na configuração de ROUND ROBIN DC. Caso haja um problema com o host configurado inicialmente, você pode atualizar a configuração para apontar para o outro servidor DC para o qual o certificado já foi importado.
Ver: NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.