NetWorker: AUTHC mislykkes med "kan ikke finde en gyldig certificeringssti til anmodet destination" i Round Robin DC-miljøet
Summary: Du forsøger at konfigurere AD-over-LDAPS-godkendelse (SSL) med NetWorker AUTHC. Når du har fulgt proceduren for import af det certifikat, der kræves til SSL, til Java/NRE-nøglelageret, modtages der en fejl under oprettelse af den eksterne myndigheds ressource: Der opstod en SSL-handshake-fejl under forsøget på at oprette forbindelse til LDAPS-server: Kunne ikke finde en gyldig certificeringssti til den ønskede destination. Denne KB er specifik for, hvornår Round Robin bruges i DNS/DC-konfigurationen. ...
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Symptoms
- Du forsøger at integrere AD over SSL (LDAPS) med NetWorker AUTHC.
- Processen fra KB NetWorker: Sådan konfigureres LDAPS-godkendelse følges
BEMÆRK: CA-certifikat fra AD-serveren skal importeres til NetWorker JRE/NRE. /lib/sercurity/cacerts keystore for at oprette SSL-kommunikation mellem AUTHC og godkendelsesserveren.
- Konfigurationen mislykkes med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Du bruger et "alias" til AD-serveren, som opretter forbindelse til forskellige DC'er i en Round Robin-konfiguration.
Cause
Det importerede certifikat er bundet til Round Robin-alias FQDN. men konfigurationen forsøger at SSL binde sig til en bestemt server i Round Robin-konfigurationen.
F.eks. hvor "ad-ldap.emclab.local" er konfigureret i DNS som et Round Robin-alias, der peger på flere DC-værter i miljøet. Indsamling af certifikatet med openssl, mens aliaset bruges, returnerer certifikatet for en af værterne ("dc1.emclab.local"), der er tilgængelig via round robin
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Hvis certifikatet importeres til JRE/NRE cacerts-nøglelageret ved hjælp af round robin-alias "ad-ldap.emclab.local", kan konfigurationen ikke svare til "dc1.emclab.local" eller nogen anden server i round robin-konfigurationen pga. navneuoverensstemmelsen.
Resolution
Du kan anvende et Round Robin-alias i ikke-SSL-forbindelser (LDAP), da dette ikke bruger nogen certifikater og ikke resulterer i en SSL-fejl.
For at anvende SSL-godkendelse skal certifikatalias svare til den vært, den opretter forbindelse til. Importer CA-certifikatet for en af de specifikke DC-værter i Round Robin-konfigurationen, og konfigurer NetWorker authc til kun at pege på denne DC for godkendelsesanmodninger; Du kan også importere certifikaterne for hver vært i Round Robin DC-konfigurationen. Hvis der er et problem med den vært, der oprindeligt er konfigureret, kan du opdatere konfigurationen, så den peger på den anden DC-server, som certifikatet allerede er importeret til.
Se: NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)
BEMÆRK: Round Robin kan konfigureres til at indlæse balanceanmodninger i et miljø. Denne konfiguration ville bruge flere DNS-poster med samme FQDN, men pegede på flere forskellige værts-IP'er. Dette bruges typisk i webbaserede programmer, der kan behandle anmodninger fra flere anmodere.
For at anvende SSL-godkendelse skal certifikatalias svare til den vært, den opretter forbindelse til. Importer CA-certifikatet for en af de specifikke DC-værter i Round Robin-konfigurationen, og konfigurer NetWorker authc til kun at pege på denne DC for godkendelsesanmodninger; Du kan også importere certifikaterne for hver vært i Round Robin DC-konfigurationen. Hvis der er et problem med den vært, der oprindeligt er konfigureret, kan du opdatere konfigurationen, så den peger på den anden DC-server, som certifikatet allerede er importeret til.
Se: NetWorker: Sådan konfigureres "AD over SSL" (LDAPS) fra NetWorker Web User Interface (NWUI)
Additional Information
Produse afectate
NetWorkerProprietăți articol
Article Number: 000187608
Article Type: Solution
Ultima modificare: 23 mai 2025
Version: 3
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.