NetWorker : Échec de l’AUTHC avec l’erreur « unable to find valid certification path to requested target » dans l’environnement DC à permutation circulaire
Sammendrag: Vous tentez de configurer l’authentification AD sur LDAPS (SSL) avec NetWorker AUTHC. Après avoir suivi la procédure d’importation du certificat requis pour SSL dans le magasin de certificats Cacerts Java/NRE, une erreur s’affiche lors de la création de la ressource de l’autorité externe : Une erreur d’établissement de liaison SSL s’est produite lors de la tentative de connexion au serveur LDAPS : impossible de trouver le chemin de certification valide vers la cible demandée. Cet article de la base de connaissances est spécifique à l’utilisation de la permutation circulaire dans la configuration DNS/DC. ...
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
- Vous tentez d’intégrer AD over SSL (LDAPS) avec NetWorker AUTHC.
- Le processus de la base de connaissances NetWorker : Comment configurer l’authentification LDAPS a été suivie
Remarque : Le certificat d’autorité de certification du serveur AD doit être importé dans netWorker JRE/NRE. /lib/sercurity/cacerts keystore afin d’établir la communication SSL entre AUTHC et le serveur d’authentification.
- La configuration échoue avec :
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Vous utilisez un « alias » pour le serveur AD qui se connecte à différents contrôleurs de domaine dans une configuration à permutation circulaire.
Årsak
Le certificat importé est lié au nom de domaine complet de l’alias de permutation circulaire. Toutefois, la configuration tente de lier SSL à un serveur spécifique dans la configuration à permutation circulaire.
Par exemple, où « ad-ldap.emclab.local » est configuré dans DNS en tant qu’alias de permutation circulaire qui pointe vers plusieurs hôtes DC dans l’environnement. La collecte du certificat avec openssl lors de l’utilisation de l’alias renvoie le certificat pour l’un des hôtes (« dc1.emclab.local ») disponibles par permutation circulaire
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Si le certificat est importé dans le magasin de certificats cacerts JRE/NRE à l’aide de l’alias de permutation circulaire « ad-ldap.emclab.local », la configuration ne pourra pas correspondre à « dc1.emclab.local » ou à tout autre serveur dans la configuration à permutation circulaire en raison d’une non-correspondance de nom.
Oppløsning
Vous pouvez utiliser un alias de permutation circulaire dans les connexions non SSL (LDAP), car cela n’utilise aucun certificat et n’entraîne pas d’erreur SSL.
Pour utiliser l’authentification SSL, l’alias de certificat doit correspondre à l’hôte auquel il se connecte. Importez le certificat d’autorité de certification pour l’un des hôtes DC spécifiques dans la configuration à permutation circulaire et configurez NetWorker authc pour qu’il pointe uniquement vers ce contrôleur de domaine pour les demandes d’authentification. Si vous le souhaitez, vous pouvez importer les certificats pour chaque hôte dans la configuration CC à permutation circulaire. En cas de problème avec l’hôte initialement configuré, vous pouvez mettre à jour la configuration pour pointer vers l’autre serveur DC pour lequel le certificat a déjà été importé.
Voir: NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)
Remarque : La permutation circulaire peut être configurée pour équilibrer la charge des demandes dans un environnement. Cette configuration utilise plusieurs entrées DNS utilisant le même FQDN, mais pointe vers plusieurs adresses IP hôtes différentes. Il est généralement utilisé dans des applications Web qui peuvent traiter des demandes provenant de plusieurs demandeurs.
Pour utiliser l’authentification SSL, l’alias de certificat doit correspondre à l’hôte auquel il se connecte. Importez le certificat d’autorité de certification pour l’un des hôtes DC spécifiques dans la configuration à permutation circulaire et configurez NetWorker authc pour qu’il pointe uniquement vers ce contrôleur de domaine pour les demandes d’authentification. Si vous le souhaitez, vous pouvez importer les certificats pour chaque hôte dans la configuration CC à permutation circulaire. En cas de problème avec l’hôte initialement configuré, vous pouvez mettre à jour la configuration pour pointer vers l’autre serveur DC pour lequel le certificat a déjà été importé.
Voir: NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)
Tilleggsinformasjon
Berørte produkter
NetWorkerArtikkelegenskaper
Artikkelnummer: 000187608
Artikkeltype: Solution
Sist endret: 23 mai 2025
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.