NetWorker: AUTHC mislykkes med "kan ikke finde en gyldig certificeringssti til anmodet destination" i Round Robin DC-miljøet
Samenvatting: Du forsøger at konfigurere AD-over-LDAPS-godkendelse (SSL) med NetWorker AUTHC. Når du har fulgt proceduren for import af det certifikat, der kræves til SSL, til Java/NRE-nøglelageret, modtages der en fejl under oprettelse af den eksterne myndigheds ressource: Der opstod en SSL-handshake-fejl under forsøget på at oprette forbindelse til LDAPS-server: Kunne ikke finde en gyldig certificeringssti til den ønskede destination. Denne KB er specifik for, hvornår Round Robin bruges i DNS/DC-konfigurationen. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
- Du forsøger at integrere AD over SSL (LDAPS) med NetWorker AUTHC.
- Processen fra KB NetWorker: Sådan konfigureres LDAPS-godkendelse følges
BEMÆRK: CA-certifikat fra AD-serveren skal importeres til NetWorker JRE/NRE. /lib/sercurity/cacerts keystore for at oprette SSL-kommunikation mellem AUTHC og godkendelsesserveren.
- Konfigurationen mislykkes med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Du bruger et "alias" til AD-serveren, som opretter forbindelse til forskellige DC'er i en Round Robin-konfiguration.
Oorzaak
Det importerede certifikat er bundet til Round Robin-alias FQDN. men konfigurationen forsøger at SSL binde sig til en bestemt server i Round Robin-konfigurationen.
F.eks. hvor "ad-ldap.emclab.local" er konfigureret i DNS som et Round Robin-alias, der peger på flere DC-værter i miljøet. Indsamling af certifikatet med openssl, mens aliaset bruges, returnerer certifikatet for en af værterne ("dc1.emclab.local"), der er tilgængelig via round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Hvis certifikatet importeres til JRE/NRE cacerts-nøglelageret ved hjælp af round robin-alias "ad-ldap.emclab.local", kan konfigurationen ikke svare til "dc1.emclab.local" eller nogen anden server i round robin-konfigurationen pga. navneuoverensstemmelsen.
Oplossing
Du kan anvende et Round Robin-alias i ikke-SSL-forbindelser (LDAP), da dette ikke bruger nogen certifikater og ikke resulterer i en SSL-fejl.
For at anvende SSL-godkendelse skal certifikatalias svare til den vært, den opretter forbindelse til. Importer CA-certifikatet for en af de specifikke DC-værter i Round Robin-konfigurationen, og konfigurer NetWorker authc til kun at pege på denne DC for godkendelsesanmodninger; Du kan også importere certifikaterne for hver vært i Round Robin DC-konfigurationen. Hvis der er et problem med den vært, der oprindeligt er konfigureret, kan du opdatere konfigurationen, så den peger på den anden DC-server, som certifikatet allerede er importeret til.
Se: NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)
BEMÆRK: Round Robin kan konfigureres til at indlæse balanceanmodninger i et miljø. Denne konfiguration ville bruge flere DNS-poster med samme FQDN, men pegede på flere forskellige værts-IP'er. Dette bruges typisk i webbaserede programmer, der kan behandle anmodninger fra flere anmodere.
For at anvende SSL-godkendelse skal certifikatalias svare til den vært, den opretter forbindelse til. Importer CA-certifikatet for en af de specifikke DC-værter i Round Robin-konfigurationen, og konfigurer NetWorker authc til kun at pege på denne DC for godkendelsesanmodninger; Du kan også importere certifikaterne for hver vært i Round Robin DC-konfigurationen. Hvis der er et problem med den vært, der oprindeligt er konfigureret, kan du opdatere konfigurationen, så den peger på den anden DC-server, som certifikatet allerede er importeret til.
Se: NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)
Extra informatie
Getroffen producten
NetWorkerArtikeleigenschappen
Artikelnummer: 000187608
Artikeltype: Solution
Laatst aangepast: 23 mei 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.