NetWorker. Сбой AUTHC с ошибкой «unable to find valid certification path to requested target» в среде циклической переборки DC
Summary: Вы пытаетесь настроить аутентификацию AD over LDAPS (SSL) с помощью NetWorker AUTHC. После выполнения процедуры импорта сертификата, необходимого для SSL, в хранилище ключей cacerts Java/NRE возникает ошибка при создании внешнего ресурса полномочий: При попытке подключения к серверу LDAPS произошла ошибка подтверждения SSL: не удалось найти действительный путь сертификации к запрашиваемой целевой системе. Эта статья базы знаний предназначена для того, когда в конфигурации DNS/DC используется циклический перебор. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Вы пытаетесь интегрировать AD over SSL (LDAPS) с NetWorker AUTHC.
- Процесс из статьи базы знаний NetWorker: Как настроить аутентификацию LDAPS , выполните
ПРИМЕЧАНИЕ. Сертификат центра сертификации с сервера AD необходимо импортировать в NetWorker JRE/NRE. Хранилище ключей /lib/sercurity/cacerts для установления SSL-связи между AUTHC и сервером аутентификации.
- Сбой конфигурации со следующими ошибками:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Используется псевдоним для сервера AD, который подключается к различным контроллерам домена в конфигурации циклического перебора.
Cause
Импортированные сертификаты связаны с FQDN-псевдонимом циклической переборки. однако конфигурация пытается выполнить привязку SSL к определенному серверу в конфигурации циклической переборки.
Например, где «ad-ldap.emclab.local» настроен в DNS как псевдоним циклической переборки, который указывает на несколько хостов dc в среде. Сбор сертификата с помощью openssl при использовании псевдонима возвращает сертификат для одного из хостов («dc1.emclab.local»), доступный в рамках циклической переборки
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
При импорте сертификата в хранилище ключей JRE/NRE cacerts с использованием циклический перебор псевдонима «ad-ldap.emclab.local» конфигурация не сможет сопоставить «dc1.emclab.local» или любой другой сервер в конфигурации циклической переборки из-за несоответствия имен.
Resolution
В подключениях без протокола SSL (LDAP) можно использовать циклический перебор псевдонимов, так как это не использует никаких сертификатов и не приводит к ошибке SSL.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
ПРИМЕЧАНИЕ. Циклический перебор можно настроить для запросов балансировки нагрузки в среде. В этой конфигурации будут использоваться несколько записей DNS с использованием одного и того же FQDN, но будут показаны несколько разных IP-адресов хостов. Обычно это используется в веб-приложениях, которые могут обрабатывать запросы от нескольких инициаторов запросов.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.