NetWorker: AUTHC kończy się niepowodzeniem z komunikatem "unable to find valid certification path to requested target" (Nie można znaleźć prawidłowej ścieżki certyfikacji do żądanego celu) w środowisku okrężnym DC
Samenvatting: Próbujesz skonfigurować uwierzytelnianie AD przez LDAPS (SSL) przy użyciu NetWorker AUTHC. Po wykonaniu procedury importowania certyfikatu wymaganego dla SSL do magazynu kluczy Cacerts Java/NRE podczas tworzenia zasobu zewnętrznego urzędu pojawia się błąd: Wystąpił błąd handshake SSL podczas próby nawiązania połączenia z serwerem LDAPS: nie można znaleźć prawidłowej ścieżki certyfikacji do żądanego celu. Ten artykuł kb jest specyficzny w przypadku korzystania z okrężnego w konfiguracji DNS/DC. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
- Próbujesz zintegrować usługę AD przez SSL (LDAPS) z NetWorker AUTHC.
- Proces z BAZY wiedzy NetWorker: Jak skonfigurować uwierzytelnianie LDAPS
UWAGA: Certyfikat urzędu certyfikacji z serwera AD należy zaimportować do środowiska NetWorker JRE/NRE. /lib/tegority/cacerts keystore w celu ustanowienia komunikacji SSL między AUTHC i serwerem uwierzytelniania.
- Konfiguracja kończy się niepowodzeniem z następującymi problemami:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Używasz "aliasu" dla serwera AD, który łączy się z różnymi kontrolerami DOMENY w konfiguracji okrężnej.
Oorzaak
Importowany certyfikat jest powiązany z aliasem FQDN okrężnym; jednak konfiguracja próbuje powiązać SSL z określonym serwerem w konfiguracji okrężnej.
Na przykład, gdzie "ad-ldap.emclab.local" jest skonfigurowany w systemie DNS jako alias okrężny, który wskazuje kilka hostów DC w środowisku. Zebranie certyfikatu przy użyciu opensl podczas korzystania z aliasu zwróci certyfikat dla jednego z hostów ("dc1.emclab.local") dostępnych za pośrednictwem okrężnego robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Jeśli certyfikat zostanie zaimportowany do magazynu kluczy CACERT JRE/NRE przy użyciu aliasu okrężnego "ad-ldap.emclab.local", konfiguracja nie będzie w stanie dopasować się do "dc1.emclab.local" lub dowolnego innego serwera w konfiguracji okrężnej ze względu na niezgodność nazwy.
Oplossing
Można użyć aliasu okrężnego w połączeniach innych niż SSL (LDAP), ponieważ nie używa on żadnych certyfikatów i nie spowoduje błędu SSL.
Aby można było korzystać z uwierzytelniania SSL, alias certyfikatu musi być zgodny z hostem, z który się łączy. Zaimportuj certyfikat urzędu certyfikacji dla jednego z określonych hostów DC w konfiguracji okrężnej i skonfiguruj NetWorker authc tak, aby wskazywał tylko ten kontroler domeny dla żądań uwierzytelniania; opcjonalnie można zaimportować certyfikaty dla każdego hosta w konfiguracji okrężnego kontrolera DC. W przypadku wystąpienia problemu z początkowym skonfigurowanym hostem można zaktualizować konfigurację, aby wskazać drugi serwer dc, dla którego certyfikat został już zaimportowany.
Zobacz: NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)
UWAGA: Okrężna może być skonfigurowana do żądań równoważenia obciążenia w środowisku. Ta konfiguracja wykorzystuje wiele wpisów DNS przy użyciu tej samej nazwy FQDN, ale wskazuje wiele różnych adresów IP hosta. Zazwyczaj korzysta on z aplikacji internetowych, które mogą przetwarzać żądania od wielu żądań.
Aby można było korzystać z uwierzytelniania SSL, alias certyfikatu musi być zgodny z hostem, z który się łączy. Zaimportuj certyfikat urzędu certyfikacji dla jednego z określonych hostów DC w konfiguracji okrężnej i skonfiguruj NetWorker authc tak, aby wskazywał tylko ten kontroler domeny dla żądań uwierzytelniania; opcjonalnie można zaimportować certyfikaty dla każdego hosta w konfiguracji okrężnego kontrolera DC. W przypadku wystąpienia problemu z początkowym skonfigurowanym hostem można zaktualizować konfigurację, aby wskazać drugi serwer dc, dla którego certyfikat został już zaimportowany.
Zobacz: NetWorker: Jak skonfigurować usługę "AD over SSL" (LDAPS) z poziomu sieciowego interfejsu użytkownika NetWorker (NWUI)
Extra informatie
Getroffen producten
NetWorkerArtikeleigenschappen
Artikelnummer: 000187608
Artikeltype: Solution
Laatst aangepast: 23 mei 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.