NetWorker:ラウンド ロビンDC環境でAUTHCが「unable to find valid certification path to requested target」で失敗する
概要: NetWorker AUTHCを使用してAD over LDAPS(SSL)認証を構成しようとしています。SSLに必要な証明書をJava/NRE cacertsキーストアにインポートする手順に従った後、外部機関リソースの作成中にエラーが受信されます。LDAPSサーバーへの接続中にSSLハンドシェイク エラーが発生しました。要求されたターゲットへの有効な認定パスを見つけることができません。このKBは、DNS/DC構成でラウンド ロビンが使用されている場合に固有です。 ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
- AD over SSL(LDAPS)をNetWorker AUTHCと統合しようとしています。
- KB NetWorkerからのプロセス: LDAPS認証を構成する方法 に従いました
メモ: ADサーバーからのCA証明書をNetWorker JRE/NREにインポートする必要があります。AUTHCと認証サーバー間のSSL通信を確立するための/lib/sercurity/cacertsキーストア。
- 構成は次のエラーで失敗します。
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- ラウンド ロビン構成で異なるDCに接続するADサーバーに「エイリアス」を使用している。
原因
インポートされた証明書はラウンド ロビン エイリアスFQDNに関連づけられています。ただし、構成はラウンド ロビン構成の特定のサーバーにSSLバインドしようとしています。
たとえば、「ad-ldap.emclab.local」は、環境内の複数のDCホストをポイントするラウンド ロビン エイリアスとしてDNSで構成されます。エイリアスを使用してopensslを使用して証明書を収集すると、ラウンド ロビンを使用して使用可能なホスト(「dc1.emclab.local」)の1つの証明書が返されます。
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
ラウンド ロビン エイリアス「ad-ldap.emclab.local」を使用して証明書をJRE/NRE cacertsキーストアにインポートした場合、名前の不一致により、構成は「dc1.emclab.local」またはその他のサーバーと一致しません。
解決方法
LDAP( 非SSL )接続ではラウンド ロビン エイリアスを使用できます。これは証明書を使用しないため、SSLエラーは発生しません。
SSL認証を使用するには、証明書エイリアスが接続先のホストと一致する必要があります。ラウンド ロビン構成の特定のDCホストの1つのCA証明書をインポートし、認証要求のためにそのDCのみをポイントするようにNetWorker authcを構成します。オプションで、ラウンド ロビンDC構成の各ホストの証明書をインポートできます。最初に構成されたホストに問題がある場合は、証明書がすでにインポートされている他のDCサーバーをポイントするように構成を更新できます。
見る:NetWorker:NWUI(NetWorker Webユーザー インターフェイス)から「AD over SSL」(LDAPS)を構成する方法
メモ: ラウンド ロビンは、環境内でリクエストのロード バランシングを構成できます。この構成では、同じFQDNを使用して複数のDNSエントリーを使用しますが、複数の異なるホストIPをポイントします。これは通常、複数のリクエサーからのリクエストを処理する可能性のあるWebベースのアプリケーションで使用されます。
SSL認証を使用するには、証明書エイリアスが接続先のホストと一致する必要があります。ラウンド ロビン構成の特定のDCホストの1つのCA証明書をインポートし、認証要求のためにそのDCのみをポイントするようにNetWorker authcを構成します。オプションで、ラウンド ロビンDC構成の各ホストの証明書をインポートできます。最初に構成されたホストに問題がある場合は、証明書がすでにインポートされている他のDCサーバーをポイントするように構成を更新できます。
見る:NetWorker:NWUI(NetWorker Webユーザー インターフェイス)から「AD over SSL」(LDAPS)を構成する方法
その他の情報
対象製品
NetWorker文書のプロパティ
文書番号: 000187608
文書の種類: Solution
最終更新: 23 5月 2025
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。