NetWorker: AUTHC mislykkes med «unable to find valid certification path to requested target» (kan ikke finne gyldig sertifiseringsbane til forespurt mål) i et dc-miljø med ringdistribusjon
Summary: Du forsøker å konfigurere AD over LDAPS-godkjenning (SSL) med NetWorker AUTHC. Etter at du har fulgt fremgangsmåten for å importere sertifikatet som kreves for SSL til Java/NRE cacerts-nøkkellageret, mottas det en feil under oppretting av den eksterne myndighetsressursen: Det oppstod en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: finner ikke gyldig sertifiseringsbane til det forespurte målet. Denne kb-en er spesifikk for når ringdistribusjon brukes i DNS-/DC-konfigurasjonen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Du prøver å integrere AD over SSL (LDAPS) med NetWorker AUTHC.
- Prosessen fra KB NetWorker: Slik konfigurerer du LDAPS-godkjenning har blitt fulgt
MERK: CA-sertifikatet fra AD-serveren må importeres til NetWorker JRE/NRE. /lib/sercurity/cacerts keystore for å etablere SSL-kommunikasjon mellom AUTHC og godkjenningsserveren.
- Konfigurasjonen mislykkes med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Du bruker et alias for AD-serveren som kobles til forskjellige domenekontrollere i en ringdistribusjonskonfigurasjon.
Cause
Det importerte sertifikatet er knyttet til ringdistribusjonsaliaset FQDN. Konfigurasjonen prøver imidlertid å binde SSL til en bestemt server i ringdistribusjonskonfigurasjonen.
For eksempel der «ad-ldap.emclab.local» er konfigurert i DNS som et ringdistribusjonsalias som peker til flere DC-verter i miljøet. Når du samler inn sertifikatet med openssl mens du bruker aliaset, returneres sertifikatet for en av vertene ("dc1.emclab.local") som er tilgjengelig via ringdistribusjon
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Hvis sertifikatet importeres til JRE/NRE cacerts-nøkkellageret ved hjelp av ringdistribusjonsaliaset «ad-ldap.emclab.local», vil ikke konfigurasjonen kunne samsvare med «dc1.emclab.local» eller noen annen server i den runde robin-konfigurasjonen på grunn av manglende samsvar mellom navn.
Resolution
Du kan bruke et ringdistribusjonsalias i LDAP-tilkoblinger (non-SSL ), da dette ikke bruker noen sertifikater og ikke vil resultere i en SSL-feil.
For å bruke SSL-godkjenning må sertifikataliaset samsvare med verten som det kobles til. Importer CA-sertifikatet for én av de spesifikke DC-vertene i ringdistribusjonskonfigurasjonen, og konfigurer NetWorker authc slik at det bare peker til domenekontrolleren for godkjenningsforespørsler. Du kan også importere sertifikatene for hver vert i den ringdistribusjons-DC-konfigurasjonen. Hvis det oppstår et problem med at verten først er konfigurert, kan du oppdatere konfigurasjonen slik at den peker til den andre domenekontrollerserveren som sertifikatet allerede er importert for.
Se: NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
MERK: Ringdistribusjon kan konfigureres til forespørsler om belastningsfordeling i et miljø. Denne konfigurasjonen bruker flere DNS-oppføringer ved hjelp av samme FQDN, men peker på flere forskjellige verts-IP-er. Dette har vanligvis bruk i nettbaserte applikasjoner som kan behandle forespørsler fra flere forespørsler.
For å bruke SSL-godkjenning må sertifikataliaset samsvare med verten som det kobles til. Importer CA-sertifikatet for én av de spesifikke DC-vertene i ringdistribusjonskonfigurasjonen, og konfigurer NetWorker authc slik at det bare peker til domenekontrolleren for godkjenningsforespørsler. Du kan også importere sertifikatene for hver vert i den ringdistribusjons-DC-konfigurasjonen. Hvis det oppstår et problem med at verten først er konfigurert, kan du oppdatere konfigurasjonen slik at den peker til den andre domenekontrollerserveren som sertifikatet allerede er importert for.
Se: NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.