NetWorker: AUTHC misslyckas med felmeddelandet "unable to find valid certification path to requested target" i round robin DC-miljö
Summary: Du försöker konfigurera AD över LDAPS-autentisering (SSL) med NetWorker AUTHC. När du har använt proceduren för att importera certifikatet som krävs för SSL till Java/NRE cacerts-nyckellagret tas ett fel emot när den externa behörighetsresursen skapas: Ett SSL-handskakningsfel inträffade vid försök att ansluta till LDAPS-servern: det gick inte att hitta en giltig certifieringssökväg till det begärda målet. Denna KB är specifik för när round robin används i DNS/DC-konfigurationen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- Du försöker integrera AD över SSL (LDAPS) med NetWorker AUTHC.
- Processen från KB NetWorker: Så här konfigurerar du LDAPS-autentisering har följts
Obs! CA-certifikat från AD-servern måste importeras till NetWorker JRE/NRE. /lib/sercurity/cacerts-nyckellagret för att upprätta SSL-kommunikation mellan AUTHC och autentiseringsservern.
- Konfigurationen misslyckas med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Du använder ett "alias" för AD-servern som ansluter till olika domänkontrollanter i en resursallokeringskonfiguration.
Cause
Det importerade certifikatet är knutet till round robin-aliaset FQDN; Konfigurationen försöker dock SSL-bindning till en specifik server i round robin-konfigurationen.
Till exempel när "ad-ldap.emclab.local" konfigureras i DNS som ett round robin-alias som pekar på flera DC-värdar i miljön. När du samlar in certifikatet med openssl när du använder aliaset returneras certifikatet för en av värdarna ("dc1.emclab.local") som är tillgängligt via round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Om certifikatet importeras till JRE/NRE cacerts-nyckellagret med round robin-aliaset "ad-ldap.emclab.local" kan konfigurationen inte matcha "dc1.emclab.local" eller någon annan server i konfigurationen round robin på grund av att namnet inte matchar.
Resolution
Du kan använda ett resursallokeringsalias i anslutningar som inte är SSL (LDAP) eftersom det inte använder några certifikat och inte leder till ett SSL-fel.
Om du vill använda SSL-autentisering måste certifikataliaset matcha den värd som det ansluter till. Importera CA-certifikatet för en av de specifika DC-värdarna i round robin-konfigurationen och konfigurera NetWorker authc så att den endast hänvisar till den domänkontrollanten för autentiseringsbegäranden. du kan även importera certifikaten för varje värd i round robin DC-konfigurationen. Om det uppstår ett problem med värden som ursprungligen konfigurerades kan du uppdatera konfigurationen så att den pekar på den andra DC-servern för vilken certifikatet redan importerats.
Se: NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Obs! Round Robin kan konfigureras för begäranden om lastbalansering i en miljö. Den här konfigurationen skulle använda flera DNS-poster med samma FQDN, men den pekar på flera olika värd-IP-adresser. Det här används vanligtvis i webbaserade program som kan bearbeta förfrågningar från flera begärdare.
Om du vill använda SSL-autentisering måste certifikataliaset matcha den värd som det ansluter till. Importera CA-certifikatet för en av de specifika DC-värdarna i round robin-konfigurationen och konfigurera NetWorker authc så att den endast hänvisar till den domänkontrollanten för autentiseringsbegäranden. du kan även importera certifikaten för varje värd i round robin DC-konfigurationen. Om det uppstår ett problem med värden som ursprungligen konfigurerades kan du uppdatera konfigurationen så att den pekar på den andra DC-servern för vilken certifikatet redan importerats.
Se: NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Additional Information
Affected Products
NetWorkerArticle Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.