NetWorker: O AUTHC falha com o erro "unable to find valid certification path to requested target" (não foi possível localizar o caminho de certificação válido para o destino solicitado) no ambiente de round-robin DC
Samenvatting: Você está tentando configurar o AD via autenticação LDAPS (SSL) com o NetWorker AUTHC. Depois de seguir o procedimento para importar o certificado necessário para SSL para o keystore Java/NRE cacerts, um erro é recebido durante a criação do recurso de autoridade externa: Ocorreu um erro de handshake SSL ao tentar se conectar ao servidor LDAPS: unable to find valid certification path to requested target. Essa KB é específica para quando round-robin está sendo usado na configuração de DNS/DC. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
- Você está tentando integrar o AD via SSL (LDAPS) ao NetWorker AUTHC.
- O processo do NetWorker da KB: Como configurar a autenticação LDAPS foi seguida
Nota: O certificado ca do servidor do AD precisa ser importado para o NetWorker JRE/NRE. /lib/sercurity/cacerts keystore para estabelecer a comunicação SSL entre o AUTHC e o servidor de autenticação.
- A configuração falha com:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Você está usando um "alias" para o servidor do AD que se conecta a diferentes DCs em uma configuração round-robin.
Oorzaak
O certificado importado está vinculado ao FQDN de alias round-robin; No entanto, a configuração está tentando vincular o SSL a um servidor específico na configuração round-robin.
Por exemplo, onde "ad-ldap.emclab.local" é configurado no DNS como um alias round-robin que aponta para vários hosts DC no ambiente. Coletar o certificado com openssl ao usar o alias retornará o certificado para um dos hosts ("dc1.emclab.local") disponíveis por meio de round-robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Se o certificado for importado para o keystore do JRE/NRE cacerts usando o alias round robin "ad-ldap.emclab.local", a configuração não poderá corresponder ao "dc1.emclab.local" ou a qualquer outro servidor na configuração round-robin devido à disparidade de nomes.
Oplossing
Você pode utilizar um alias round-robin em conexões não SSL (LDAP), pois isso não usa nenhum certificado e não resultará em um erro de SSL.
Para utilizar a autenticação SSL, o alias do certificado deve corresponder ao host ao qual ele está se conectando. Importe o certificado da CA para um dos hosts DC específicos na configuração round-robin e configure o NetWorker authc para apontar apenas para esse DC para solicitações de autenticação; opcionalmente, você pode importar os certificados para cada host na configuração de ROUND ROBIN DC. Caso haja um problema com o host configurado inicialmente, você pode atualizar a configuração para apontar para o outro servidor DC para o qual o certificado já foi importado.
Ver: NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
Nota: O Round Robin pode ser configurado para as solicitações de balanceamento de carga em um ambiente. Essa configuração usaria várias entradas DNS usando o mesmo FQDN, mas apontando para vários IPs de host diferentes. Normalmente, ele tem seus usos em aplicativos baseados na Web que podem estar processando solicitações de vários solicitantes.
Para utilizar a autenticação SSL, o alias do certificado deve corresponder ao host ao qual ele está se conectando. Importe o certificado da CA para um dos hosts DC específicos na configuração round-robin e configure o NetWorker authc para apontar apenas para esse DC para solicitações de autenticação; opcionalmente, você pode importar os certificados para cada host na configuração de ROUND ROBIN DC. Caso haja um problema com o host configurado inicialmente, você pode atualizar a configuração para apontar para o outro servidor DC para o qual o certificado já foi importado.
Ver: NetWorker: Como configurar o "AD over SSL" (LDAPS) a partir da interface do usuário da Web do NetWorker (NWUI)
Extra informatie
Getroffen producten
NetWorkerArtikeleigenschappen
Artikelnummer: 000187608
Artikeltype: Solution
Laatst aangepast: 23 mei 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.