NetWorker: AUTHC mislukt met "unable to find valid certification path to requested target" in round robin DC environment
Summary: U probeert AD via LDAPS (SSL) authenticatie te configureren met NetWorker AUTHC. Na het volgen van de procedure voor het importeren van het certificaat dat vereist is voor SSL in de Java/NRE cacerts keystore, wordt een fout ontvangen bij het maken van de externe autoriteitsbron: Er is een SSL-handshake-fout opgetreden tijdens een poging om verbinding te maken met LDAPS-server: kan geen geldig certificeringspad vinden voor het aangevraagde doel. Dit KB-artikel is specifiek voor wanneer round robin wordt gebruikt in de DNS/DC-configuratie. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- U probeert AD via SSL (LDAPS) te integreren met NetWorker AUTHC.
- Het proces van KB NetWorker: Ldaps-authenticatie configureren is gevolgd
OPMERKING: CA-certificaat van de AD-server moet worden geïmporteerd in de NetWorker JRE/NRE .. /lib/sercurity/cacerts keystore om SSL-communicatie tussen AUTHC en authenticatieserver tot stand te brengen.
- De configuratie mislukt met:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- U gebruikt een 'alias' voor de AD-server die verbinding maakt met verschillende DC's in een Round Robin-configuratie.
Cause
Het geïmporteerde certificaat is gekoppeld aan de round robin alias FQDN; de configuratie probeert echter ssl te koppelen aan een specifieke server in de Round Robin-configuratie.
Bijvoorbeeld, waarbij "ad-ldap.emclab.local" is geconfigureerd in DNS als round robin alias die verwijst naar verschillende DC-hosts in de omgeving. Als u het certificaat verzamelt met openssl terwijl u de alias gebruikt, wordt het certificaat geretourneerd voor een van de hosts ("dc1.emclab.local") die beschikbaar zijn via Round Robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Als het certificaat wordt geïmporteerd naar de JRE/NRE cacerts keystore met behulp van de round robin alias "ad-ldap.emclab.local" kan de configuratie niet overeenkomen met de "dc1.emclab.local" of een andere server in de round robin-configuratie vanwege de niet-overeenkomende naam.
Resolution
U kunt een round robin alias gebruiken in niet-SSL-verbindingen (LDAP), omdat dit geen certificaten gebruikt en geen SSL-fout zal opleveren.
Om SSL-authenticatie te gebruiken, moet de certificaatalias overeenkomen met de host waarmee deze verbinding maakt. Importeer het CA-certificaat voor een van de specifieke DC-hosts in de Round Robin-configuratie en configureer NetWorker authc om alleen naar die DC te verwijzen voor verificatieaanvragen; Optioneel kunt u de certificaten voor elke host importeren in de Round Robin DC-configuratie. In het geval dat er een probleem is met de host die in eerste instantie is geconfigureerd, kunt u de configuratie bijwerken om te verwijzen naar de andere DC-server waarvoor het certificaat al is geïmporteerd.
Zie: NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)
OPMERKING: Round Robin kan worden geconfigureerd voor load-balance aanvragen in een omgeving. Deze configuratie gebruikt meerdere DNS-vermeldingen met dezelfde FQDN, maar wijst naar meerdere verschillende host-IP's. Dit wordt meestal gebruikt in webgebaseerde applicaties die aanvragen van meerdere aanvragers kunnen verwerken.
Om SSL-authenticatie te gebruiken, moet de certificaatalias overeenkomen met de host waarmee deze verbinding maakt. Importeer het CA-certificaat voor een van de specifieke DC-hosts in de Round Robin-configuratie en configureer NetWorker authc om alleen naar die DC te verwijzen voor verificatieaanvragen; Optioneel kunt u de certificaten voor elke host importeren in de Round Robin DC-configuratie. In het geval dat er een probleem is met de host die in eerste instantie is geconfigureerd, kunt u de configuratie bijwerken om te verwijzen naar de andere DC-server waarvoor het certificaat al is geïmporteerd.
Zie: NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.