NetWorker: AUTHC falla con el mensaje "unable to find valid certification path to requested target" en el entorno de DC round-robin
Resumen: Está intentando configurar AD mediante la autenticación LDAPS (SSL) con NetWorker AUTHC. Después de seguir el procedimiento para importar el certificado necesario para SSL en el almacén de claves cacerts de Java/NRE, se recibe un error durante la creación del recurso de autoridad externa: Se produjo un error de protocolo de enlace SSL al intentar conectarse al servidor LDAPS: no se puede encontrar una ruta de certificación válida al destino solicitado. Este artículo de la base de conocimientos es específico para cuando se utiliza round robin en la configuración de DNS/DC. ...
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Síntomas
- Está intentando integrar AD mediante SSL (LDAPS) con NetWorker AUTHC.
- El proceso de KB NetWorker: Se siguió cómo configurar la autenticación ldaps
NOTA: El certificado de CA del servidor de AD se debe importar a JRE/NRE de NetWorker. Almacenamiento de claves /lib/sercurity/cacerts para establecer la comunicación SSL entre AUTHC y el servidor de autenticación.
- La configuración falla con lo siguiente:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Está utilizando un "alias" para el servidor de AD que se conecta a diferentes DC en una configuración round-robin.
Causa
El certificado importado está vinculado al FQDN de alias round-robin; sin embargo, la configuración está tratando de vincular SSL a un servidor específico en la configuración round-robin.
Por ejemplo, donde "ad-ldap.emclab.local" está configurado en DNS como un alias round robin que apunta a varios hosts de DC en el ambiente. La recopilación del certificado con openssl mientras se usa el alias devolverá el certificado para uno de los hosts ("dc1.emclab.local") disponible a través de round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Si el certificado se importa al almacén de claves cacerts de JRE/NRE mediante el alias round robin "ad-ldap.emclab.local", la configuración no podrá coincidir con "dc1.emclab.local" ni con ningún otro servidor en la configuración round-robin debido a la incompatibilidad de nombres.
Resolución
Puede utilizar un alias round-robin en conexiones no SSL (LDAP), ya que esto no utiliza ningún certificado y no generará un error SSL.
Para utilizar la autenticación SSL, el alias del certificado debe coincidir con el host al que se está conectando. Importe el certificado de CA para uno de los hosts de DC específicos en la configuración round-robin y configure NetWorker authc para que apunte solo a esa DC para las solicitudes de autenticación; de manera opcional, puede importar los certificados para cada host en la configuración de DC round-robin. En caso de que haya un problema con el host configurado inicialmente, puede actualizar la configuración para que señale al otro servidor de DC para el cual ya se importó el certificado.
Ver: NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)
NOTA: Round Robin se puede configurar para balancear la carga de las solicitudes en un ambiente. Esta configuración utilizaría varias entradas de DNS con el mismo FQDN, pero apuntaría a varias DIRECCIONES IP de host diferentes. Por lo general, esto tiene sus usos en aplicaciones basadas en web que pueden estar procesando solicitudes de varios solicitantes.
Para utilizar la autenticación SSL, el alias del certificado debe coincidir con el host al que se está conectando. Importe el certificado de CA para uno de los hosts de DC específicos en la configuración round-robin y configure NetWorker authc para que apunte solo a esa DC para las solicitudes de autenticación; de manera opcional, puede importar los certificados para cada host en la configuración de DC round-robin. En caso de que haya un problema con el host configurado inicialmente, puede actualizar la configuración para que señale al otro servidor de DC para el cual ya se importó el certificado.
Ver: NetWorker: Cómo configurar "AD mediante SSL" (LDAPS) desde la interfaz de usuario web de NetWorker (NWUI)
Información adicional
Productos afectados
NetWorkerPropiedades del artículo
Número del artículo: 000187608
Tipo de artículo: Solution
Última modificación: 23 may 2025
Versión: 3
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.