NetWorker. Сбой AUTHC с ошибкой «unable to find valid certification path to requested target» в среде циклической переборки DC
Yhteenveto: Вы пытаетесь настроить аутентификацию AD over LDAPS (SSL) с помощью NetWorker AUTHC. После выполнения процедуры импорта сертификата, необходимого для SSL, в хранилище ключей cacerts Java/NRE возникает ошибка при создании внешнего ресурса полномочий: При попытке подключения к серверу LDAPS произошла ошибка подтверждения SSL: не удалось найти действительный путь сертификации к запрашиваемой целевой системе. Эта статья базы знаний предназначена для того, когда в конфигурации DNS/DC используется циклический перебор. ...
Tämä artikkeli koskee tuotetta
Tämä artikkeli ei koske tuotetta
Tämä artikkeli ei liity tiettyyn tuotteeseen.
Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.
Oireet
- Вы пытаетесь интегрировать AD over SSL (LDAPS) с NetWorker AUTHC.
- Процесс из статьи базы знаний NetWorker: Как настроить аутентификацию LDAPS , выполните
ПРИМЕЧАНИЕ. Сертификат центра сертификации с сервера AD необходимо импортировать в NetWorker JRE/NRE. Хранилище ключей /lib/sercurity/cacerts для установления SSL-связи между AUTHC и сервером аутентификации.
- Сбой конфигурации со следующими ошибками:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Используется псевдоним для сервера AD, который подключается к различным контроллерам домена в конфигурации циклического перебора.
Syy
Импортированные сертификаты связаны с FQDN-псевдонимом циклической переборки. однако конфигурация пытается выполнить привязку SSL к определенному серверу в конфигурации циклической переборки.
Например, где «ad-ldap.emclab.local» настроен в DNS как псевдоним циклической переборки, который указывает на несколько хостов dc в среде. Сбор сертификата с помощью openssl при использовании псевдонима возвращает сертификат для одного из хостов («dc1.emclab.local»), доступный в рамках циклической переборки
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
При импорте сертификата в хранилище ключей JRE/NRE cacerts с использованием циклический перебор псевдонима «ad-ldap.emclab.local» конфигурация не сможет сопоставить «dc1.emclab.local» или любой другой сервер в конфигурации циклической переборки из-за несоответствия имен.
Tarkkuus
В подключениях без протокола SSL (LDAP) можно использовать циклический перебор псевдонимов, так как это не использует никаких сертификатов и не приводит к ошибке SSL.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
ПРИМЕЧАНИЕ. Циклический перебор можно настроить для запросов балансировки нагрузки в среде. В этой конфигурации будут использоваться несколько записей DNS с использованием одного и того же FQDN, но будут показаны несколько разных IP-адресов хостов. Обычно это используется в веб-приложениях, которые могут обрабатывать запросы от нескольких инициаторов запросов.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
Lisätietoja
Tuotteet, joihin vaikutus kohdistuu
NetWorkerArtikkelin ominaisuudet
Artikkelin numero: 000187608
Artikkelin tyyppi: Solution
Viimeksi muutettu: 23 toukok. 2025
Versio: 3
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.