NetWorker: AUTHC ha esito negativo con errore "unable to find valid certification path to requested target" nell'ambiente round robin DC
Samenvatting: Si sta tentando di configurare l'autenticazione AD su LDAPS (SSL) con NetWorker AUTHC. Dopo aver seguito la procedura per l'importazione del certificato richiesto per SSL nel keystore cacerts Java/NRE, viene ricevuto un errore durante la creazione della risorsa dell'autorità esterna: Si è verificato un errore di handshake SSL durante il tentativo di connessione al server LDAPS: impossibile trovare un percorso di certificazione valido per la destinazione richiesta. Questo articolo della KB è specifico per quando viene utilizzato round robin nella configurazione DNS/DC. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
- Si sta tentando di integrare AD su SSL (LDAPS) con NetWorker AUTHC.
- Il processo di KB NetWorker: Come configurare l'autenticazione LDAPS è stata seguita
NOTA: Il certificato CA dal server AD deve essere importato in NetWorker JRE/NRE. Keystore /lib/sercurity/cacerts per stabilire la comunicazione SSL tra AUTHC e il server di autenticazione.
- La configurazione ha esito negativo con:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Si utilizza un "alias" per il server AD che si connette a controller di dominio diversi in una configurazione round robin.
Oorzaak
Il certificato importato è associato all'FQDN round robin alias; Tuttavia, la configurazione sta tentando di associare SSL a un server specifico nella configurazione round robin.
Ad esempio, dove "ad-ldap.emclab.local" è configurato in DNS come alias round robin che punta a più host DC nell'ambiente. La raccolta del certificato con openssl durante l'utilizzo dell'alias restituirà il certificato per uno degli host ("dc1.emclab.local") disponibile tramite round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Se il certificato viene importato nel keystore cacerts JRE/NRE utilizzando l'alias round robin "ad-ldap.emclab.local", la configurazione non sarà in grado di corrispondere a "dc1.emclab.local" o a qualsiasi altro server nella configurazione round robin a causa della mancata corrispondenza del nome.
Oplossing
È possibile utilizzare un alias Round Robin nelle connessioni non SSL (LDAP), in quanto non vengono utilizzati certificati e non si verificherà un errore SSL.
Per utilizzare l'autenticazione SSL, l'alias del certificato deve corrispondere all'host a cui si sta connettendo. importare il certificato CA per uno degli host dc specifici nella configurazione round robin e configurare l'authc di NetWorker in modo che punti solo a tale dc per le richieste di autenticazione; facoltativamente, è possibile importare i certificati per ogni host nella configurazione round robin DC. Nel caso in cui si verifichi un problema con l'host inizialmente configurato, è possibile aggiornare la configurazione in modo che punti all'altro server di controller di dominio per il quale il certificato è già stato importato.
Vedere: NetWorker: Come configurare "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI)
NOTA: Round Robin può essere configurato per bilanciare il carico delle richieste in un ambiente. Questa configurazione utilizzerebbe più voci DNS utilizzando lo stesso FQDN, ma puntando a più IP host diversi. Questo ha in genere il suo utilizzo in applicazioni web-based che possono elaborare richieste di più richiedente.
Per utilizzare l'autenticazione SSL, l'alias del certificato deve corrispondere all'host a cui si sta connettendo. importare il certificato CA per uno degli host dc specifici nella configurazione round robin e configurare l'authc di NetWorker in modo che punti solo a tale dc per le richieste di autenticazione; facoltativamente, è possibile importare i certificati per ogni host nella configurazione round robin DC. Nel caso in cui si verifichi un problema con l'host inizialmente configurato, è possibile aggiornare la configurazione in modo che punti all'altro server di controller di dominio per il quale il certificato è già stato importato.
Vedere: NetWorker: Come configurare "AD over SSL" (LDAPS) dall'interfaccia utente web di NetWorker (NWUI)
Extra informatie
Getroffen producten
NetWorkerArtikeleigenschappen
Artikelnummer: 000187608
Artikeltype: Solution
Laatst aangepast: 23 mei 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.