NetWorker: AUTHC misslyckas med felmeddelandet "unable to find valid certification path to requested target" i round robin DC-miljö
Samenvatting: Du försöker konfigurera AD över LDAPS-autentisering (SSL) med NetWorker AUTHC. När du har använt proceduren för att importera certifikatet som krävs för SSL till Java/NRE cacerts-nyckellagret tas ett fel emot när den externa behörighetsresursen skapas: Ett SSL-handskakningsfel inträffade vid försök att ansluta till LDAPS-servern: det gick inte att hitta en giltig certifieringssökväg till det begärda målet. Denna KB är specifik för när round robin används i DNS/DC-konfigurationen. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
- Du försöker integrera AD över SSL (LDAPS) med NetWorker AUTHC.
- Processen från KB NetWorker: Så här konfigurerar du LDAPS-autentisering har följts
Obs! CA-certifikat från AD-servern måste importeras till NetWorker JRE/NRE. /lib/sercurity/cacerts-nyckellagret för att upprätta SSL-kommunikation mellan AUTHC och autentiseringsservern.
- Konfigurationen misslyckas med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Du använder ett "alias" för AD-servern som ansluter till olika domänkontrollanter i en resursallokeringskonfiguration.
Oorzaak
Det importerade certifikatet är knutet till round robin-aliaset FQDN; Konfigurationen försöker dock SSL-bindning till en specifik server i round robin-konfigurationen.
Till exempel när "ad-ldap.emclab.local" konfigureras i DNS som ett round robin-alias som pekar på flera DC-värdar i miljön. När du samlar in certifikatet med openssl när du använder aliaset returneras certifikatet för en av värdarna ("dc1.emclab.local") som är tillgängligt via round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Om certifikatet importeras till JRE/NRE cacerts-nyckellagret med round robin-aliaset "ad-ldap.emclab.local" kan konfigurationen inte matcha "dc1.emclab.local" eller någon annan server i konfigurationen round robin på grund av att namnet inte matchar.
Oplossing
Du kan använda ett resursallokeringsalias i anslutningar som inte är SSL (LDAP) eftersom det inte använder några certifikat och inte leder till ett SSL-fel.
Om du vill använda SSL-autentisering måste certifikataliaset matcha den värd som det ansluter till. Importera CA-certifikatet för en av de specifika DC-värdarna i round robin-konfigurationen och konfigurera NetWorker authc så att den endast hänvisar till den domänkontrollanten för autentiseringsbegäranden. du kan även importera certifikaten för varje värd i round robin DC-konfigurationen. Om det uppstår ett problem med värden som ursprungligen konfigurerades kan du uppdatera konfigurationen så att den pekar på den andra DC-servern för vilken certifikatet redan importerats.
Se: NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Obs! Round Robin kan konfigureras för begäranden om lastbalansering i en miljö. Den här konfigurationen skulle använda flera DNS-poster med samma FQDN, men den pekar på flera olika värd-IP-adresser. Det här används vanligtvis i webbaserade program som kan bearbeta förfrågningar från flera begärdare.
Om du vill använda SSL-autentisering måste certifikataliaset matcha den värd som det ansluter till. Importera CA-certifikatet för en av de specifika DC-värdarna i round robin-konfigurationen och konfigurera NetWorker authc så att den endast hänvisar till den domänkontrollanten för autentiseringsbegäranden. du kan även importera certifikaten för varje värd i round robin DC-konfigurationen. Om det uppstår ett problem med värden som ursprungligen konfigurerades kan du uppdatera konfigurationen så att den pekar på den andra DC-servern för vilken certifikatet redan importerats.
Se: NetWorker: Så här konfigurerar du "AD over SSL" (LDAPS) från NetWorker-webbanvändargränssnittet (NWUI)
Extra informatie
Getroffen producten
NetWorkerArtikeleigenschappen
Artikelnummer: 000187608
Artikeltype: Solution
Laatst aangepast: 23 mei 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.