NetWorker: AUTHC mislykkes med "kan ikke finde en gyldig certificeringssti til anmodet destination" i Round Robin DC-miljøet

Summary: Du forsøger at konfigurere AD-over-LDAPS-godkendelse (SSL) med NetWorker AUTHC. Når du har fulgt proceduren for import af det certifikat, der kræves til SSL, til Java/NRE-nøglelageret, modtages der en fejl under oprettelse af den eksterne myndigheds ressource: Der opstod en SSL-handshake-fejl under forsøget på at oprette forbindelse til LDAPS-server: Kunne ikke finde en gyldig certificeringssti til den ønskede destination. Denne KB er specifik for, hvornår Round Robin bruges i DNS/DC-konfigurationen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

BEMÆRK: CA-certifikat fra AD-serveren skal importeres til NetWorker JRE/NRE. /lib/sercurity/cacerts keystore for at oprette SSL-kommunikation mellem AUTHC og godkendelsesserveren.
  • Konfigurationen mislykkes med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • Du bruger et "alias" til AD-serveren, som opretter forbindelse til forskellige DC'er i en Round Robin-konfiguration. 

Cause

Det importerede certifikat er bundet til Round Robin-alias FQDN. men konfigurationen forsøger at SSL binde sig til en bestemt server i Round Robin-konfigurationen. 
F.eks. hvor "ad-ldap.emclab.local" er konfigureret i DNS som et Round Robin-alias, der peger på flere DC-værter i miljøet. Indsamling af certifikatet med openssl, mens aliaset bruges, returnerer certifikatet for en af værterne ("dc1.emclab.local"), der er tilgængelig via round robin

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Hvis certifikatet importeres til JRE/NRE cacerts-nøglelageret ved hjælp af round robin-alias "ad-ldap.emclab.local", kan konfigurationen ikke svare til "dc1.emclab.local" eller nogen anden server i round robin-konfigurationen pga. navneuoverensstemmelsen.

Resolution

Du kan anvende et Round Robin-alias i ikke-SSL-forbindelser (LDAP), da dette ikke bruger nogen certifikater og ikke resulterer i en SSL-fejl.
 
BEMÆRK: Round Robin kan konfigureres til at indlæse balanceanmodninger i et miljø. Denne konfiguration ville bruge flere DNS-poster med samme FQDN, men pegede på flere forskellige værts-IP'er. Dette bruges typisk i webbaserede programmer, der kan behandle anmodninger fra flere anmodere.

For at anvende SSL-godkendelse skal certifikatalias svare til den vært, den opretter forbindelse til. Importer CA-certifikatet for en af de specifikke DC-værter i Round Robin-konfigurationen, og konfigurer NetWorker authc til kun at pege på denne DC for godkendelsesanmodninger; Du kan også importere certifikaterne for hver vært i Round Robin DC-konfigurationen. Hvis der er et problem med den vært, der oprindeligt er konfigureret, kan du opdatere konfigurationen, så den peger på den anden DC-server, som certifikatet allerede er importeret til.

Se: NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)

Additional Information

NetWorker: LDAPS-integration mislykkes med "Der opstod en SSL-handshake-fejl under forsøg på at oprette forbindelse til LDAPS-serveren: Kunne ikke finde en gyldig certificeringssti til den anmodede destination"

Affected Products

NetWorker
Article Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.