NetWorker:在循环调度 DC 环境中,AUTHC 失败,并显示“Unable to find valid certification path to requested target”

Summary: 您正在尝试使用 NetWorker AUTHC 配置通过 LDAPS (SSL) 身份验证的 AD。按照将 SSL 所需的证书导入 Java/NRE cacerts 密钥库的过程后,在创建外部机构资源时收到错误:尝试连接到 LDAPS 服务器时发生 SSL 握手错误:无法找到到请求目标的有效认证路径。此知识库文章特定于 DNS/DC 配置中何时使用循环调度。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

提醒:需要将来自 AD 服务器的 CA 证书导入 NetWorker JRE/NRE 。/lib/sercurity/cacerts 密钥库,以便在 AUTHC 和身份验证服务器之间建立 SSL 通信。
  • 配置失败,并显示:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • 您使用的是 AD 服务器的“别名”,该别名在循环调度配置中连接到不同的 DC。 

Cause

导入的证书绑定到循环调度别名 FQDN;但是,配置尝试将 SSL 绑定到循环调度配置中的特定服务器。
例如,在 DNS 中将“ad-ldap.emclab.local”配置为指向环境中多个 DC 主机的循环调度别名。在使用别名时使用 openssl 收集证书将返回通过循环调度提供的其中一个主机(“dc1.emclab.local”)的证书

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

如果证书使用循环调度别名“ad-ldap.emclab.local”导入 JRE/NRE cacerts 密钥库,则由于名称不匹配,配置将无法与“dc1.emclab.local”或循环调度配置中的任何其他服务器匹配。

Resolution

您可以在 非 SSL (LDAP) 连接中使用循环调度别名,因为这不会使用任何证书,也不会导致 SSL 错误。
 
提醒:循环调度可配置为环境中的负载平衡请求。此配置将使用使用相同 FQDN 的多个 DNS 条目,但指向多个不同的主机 IP。这通常在基于 Web 的应用程序中使用,这些应用程序可能正在处理来自多个请求者的请求。

要使用 SSL 身份验证,证书别名必须与其连接到的主机相匹配。在循环调度配置中导入其中一个特定 DC 主机的 CA 证书,并将 NetWorker authc 配置为仅指向该 DC 进行身份验证请求;(可选)您可以在循环调度 DC 配置中导入每个主机的证书。如果最初配置的主机出现问题,您可以更新配置以指向已导入证书的另一个 DC 服务器。

看到:NetWorker:如何从 NetWorker Web 用户界面 (NWUI) 配置“AD over SSL”(LDAPS)

Additional Information

NetWorker:LDAPS 集成失败,并显示“在尝试连接到 LDAPS 服务器时发生 SSL 握手错误:Unable to find valid certification path to requested target”

Affected Products

NetWorker
Article Properties
Article Number: 000187608
Article Type: Solution
Last Modified: 23 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.