NetWorker. Сбой AUTHC с ошибкой «unable to find valid certification path to requested target» в среде циклической переборки DC
요약: Вы пытаетесь настроить аутентификацию AD over LDAPS (SSL) с помощью NetWorker AUTHC. После выполнения процедуры импорта сертификата, необходимого для SSL, в хранилище ключей cacerts Java/NRE возникает ошибка при создании внешнего ресурса полномочий: При попытке подключения к серверу LDAPS произошла ошибка подтверждения SSL: не удалось найти действительный путь сертификации к запрашиваемой целевой системе. Эта статья базы знаний предназначена для того, когда в конфигурации DNS/DC используется циклический перебор. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
- Вы пытаетесь интегрировать AD over SSL (LDAPS) с NetWorker AUTHC.
- Процесс из статьи базы знаний NetWorker: Как настроить аутентификацию LDAPS , выполните
ПРИМЕЧАНИЕ. Сертификат центра сертификации с сервера AD необходимо импортировать в NetWorker JRE/NRE. Хранилище ключей /lib/sercurity/cacerts для установления SSL-связи между AUTHC и сервером аутентификации.
- Сбой конфигурации со следующими ошибками:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Используется псевдоним для сервера AD, который подключается к различным контроллерам домена в конфигурации циклического перебора.
원인
Импортированные сертификаты связаны с FQDN-псевдонимом циклической переборки. однако конфигурация пытается выполнить привязку SSL к определенному серверу в конфигурации циклической переборки.
Например, где «ad-ldap.emclab.local» настроен в DNS как псевдоним циклической переборки, который указывает на несколько хостов dc в среде. Сбор сертификата с помощью openssl при использовании псевдонима возвращает сертификат для одного из хостов («dc1.emclab.local»), доступный в рамках циклической переборки
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
При импорте сертификата в хранилище ключей JRE/NRE cacerts с использованием циклический перебор псевдонима «ad-ldap.emclab.local» конфигурация не сможет сопоставить «dc1.emclab.local» или любой другой сервер в конфигурации циклической переборки из-за несоответствия имен.
해결
В подключениях без протокола SSL (LDAP) можно использовать циклический перебор псевдонимов, так как это не использует никаких сертификатов и не приводит к ошибке SSL.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
ПРИМЕЧАНИЕ. Циклический перебор можно настроить для запросов балансировки нагрузки в среде. В этой конфигурации будут использоваться несколько записей DNS с использованием одного и того же FQDN, но будут показаны несколько разных IP-адресов хостов. Обычно это используется в веб-приложениях, которые могут обрабатывать запросы от нескольких инициаторов запросов.
Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.
Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)
추가 정보
해당 제품
NetWorker문서 속성
문서 번호: 000187608
문서 유형: Solution
마지막 수정 시간: 23 5월 2025
버전: 3
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.