NetWorker: Funkce AUTHC selže v prostředí kruhového dotazování DC a "unable to find valid certification path to requested target"
Summary: Pokoušíte se nakonfigurovat ověřování AD přes protokol LDAPS (SSL) pomocí technologie NetWorker AUTHC. Po provedení postupu importu certifikátu požadovaného pro protokol SSL do úložiště klíčů Java/NRE dojde při vytváření zdroje externí autority k chybě: Při pokusu o připojení k serveru LDAPS došlo k chybě handshake SSL: Unable to find valid certification path to requested target. Tento článek databáze znalostí je specifický pro použití kruhového dotazování v konfiguraci DNS/DC. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Pokoušíte se integrovat službu AD přes SSL (LDAPS) s technologií NetWorker AUTHC.
- Postup od kb NetWorker: Byl dodržen postup konfigurace ověřování LDAPS
POZNÁMKA: Certifikát CA ze serveru AD je třeba importovat do prostředí NetWorker JRE/NRE. /lib/sercurity/cacerts keystore za účelem vytvoření komunikace SSL mezi AUTHC a ověřovacím serverem.
- Konfigurace se nezdaří a:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Používáte "alias" pro server AD, který se připojuje k různým řadičům domény v konfiguraci kruhového dotazování.
Cause
Importovaný certifikát je vázán na alias kruhového dotazování FQDN. konfigurace se však pokouší vytvořit vazbu SSL na konkrétní server v konfiguraci kruhového dotazování.
Například kde je soubor "ad-ldap.emclab.local" nakonfigurován v systému DNS jako alias kruhového dotazování, který odkazuje na několik hostitelů DC v prostředí. Shromažďování certifikátu pomocí příkazu openssl při použití aliasu vrátí certifikát pro jednoho z hostitelů ("dc1.emclab.local"), který je dostupný prostřednictvím kruhového dotazování.
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Pokud je certifikát importován do úložiště klíčů JRE/NRE cacerts pomocí aliasu kruhového dotazování "ad-ldap.emclab.local", konfigurace nebude schopna kvůli neshodě názvu odpovídat souboru "dc1.emclab.local" ani jinému serveru v konfiguraci kruhového dotazování.
Resolution
Alias kruhového dotazování můžete použít v připojeních, která nejsou typu SSL (LDAP), protože nevyužívá žádné certifikáty a nezpůsobí chybu SSL.
Chcete-li použít ověřování SSL, musí alias certifikátu odpovídat hostiteli, ke kterému se připojuje. Importujte certifikát CA pro jednoho z konkrétních hostitelů DC v konfiguraci kruhového dotazování a nakonfigurujte server NetWorker authc tak, aby odkazovat pouze na daný řadič domény pro požadavky na ověření; volitelně můžete importovat certifikáty pro každého hostitele v konfiguraci kruhového dotazování řadiče domény. V případě, že došlo k problému s počáteční konfigurací hostitele, můžete aktualizovat konfiguraci tak, aby odkazovala na druhý server DC, pro který byl certifikát již importován.
Viz: NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)
POZNÁMKA: Kruhové dotazování lze konfigurovat na požadavky vyrovnávání zatížení v prostředí. Tato konfigurace by používala více položek DNS se stejným názvem FQDN, ale odkazoval na několik různých IP adres hostitele. Obvykle se používá ve webových aplikacích, které mohou zpracovávat požadavky od více žadatelů.
Chcete-li použít ověřování SSL, musí alias certifikátu odpovídat hostiteli, ke kterému se připojuje. Importujte certifikát CA pro jednoho z konkrétních hostitelů DC v konfiguraci kruhového dotazování a nakonfigurujte server NetWorker authc tak, aby odkazovat pouze na daný řadič domény pro požadavky na ověření; volitelně můžete importovat certifikáty pro každého hostitele v konfiguraci kruhového dotazování řadiče domény. V případě, že došlo k problému s počáteční konfigurací hostitele, můžete aktualizovat konfiguraci tak, aby odkazovala na druhý server DC, pro který byl certifikát již importován.
Viz: NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.