NetWorker : Échec de l’AUTHC avec l’erreur « unable to find valid certification path to requested target » dans l’environnement DC à permutation circulaire
Сводка: Vous tentez de configurer l’authentification AD sur LDAPS (SSL) avec NetWorker AUTHC. Après avoir suivi la procédure d’importation du certificat requis pour SSL dans le magasin de certificats Cacerts Java/NRE, une erreur s’affiche lors de la création de la ressource de l’autorité externe : Une erreur d’établissement de liaison SSL s’est produite lors de la tentative de connexion au serveur LDAPS : impossible de trouver le chemin de certification valide vers la cible demandée. Cet article de la base de connaissances est spécifique à l’utilisation de la permutation circulaire dans la configuration DNS/DC. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
- Vous tentez d’intégrer AD over SSL (LDAPS) avec NetWorker AUTHC.
- Le processus de la base de connaissances NetWorker : Comment configurer l’authentification LDAPS a été suivie
Remarque : Le certificat d’autorité de certification du serveur AD doit être importé dans netWorker JRE/NRE. /lib/sercurity/cacerts keystore afin d’établir la communication SSL entre AUTHC et le serveur d’authentification.
- La configuration échoue avec :
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Vous utilisez un « alias » pour le serveur AD qui se connecte à différents contrôleurs de domaine dans une configuration à permutation circulaire.
Причина
Le certificat importé est lié au nom de domaine complet de l’alias de permutation circulaire. Toutefois, la configuration tente de lier SSL à un serveur spécifique dans la configuration à permutation circulaire.
Par exemple, où « ad-ldap.emclab.local » est configuré dans DNS en tant qu’alias de permutation circulaire qui pointe vers plusieurs hôtes DC dans l’environnement. La collecte du certificat avec openssl lors de l’utilisation de l’alias renvoie le certificat pour l’un des hôtes (« dc1.emclab.local ») disponibles par permutation circulaire
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Si le certificat est importé dans le magasin de certificats cacerts JRE/NRE à l’aide de l’alias de permutation circulaire « ad-ldap.emclab.local », la configuration ne pourra pas correspondre à « dc1.emclab.local » ou à tout autre serveur dans la configuration à permutation circulaire en raison d’une non-correspondance de nom.
Разрешение
Vous pouvez utiliser un alias de permutation circulaire dans les connexions non SSL (LDAP), car cela n’utilise aucun certificat et n’entraîne pas d’erreur SSL.
Pour utiliser l’authentification SSL, l’alias de certificat doit correspondre à l’hôte auquel il se connecte. Importez le certificat d’autorité de certification pour l’un des hôtes DC spécifiques dans la configuration à permutation circulaire et configurez NetWorker authc pour qu’il pointe uniquement vers ce contrôleur de domaine pour les demandes d’authentification. Si vous le souhaitez, vous pouvez importer les certificats pour chaque hôte dans la configuration CC à permutation circulaire. En cas de problème avec l’hôte initialement configuré, vous pouvez mettre à jour la configuration pour pointer vers l’autre serveur DC pour lequel le certificat a déjà été importé.
Voir: NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)
Remarque : La permutation circulaire peut être configurée pour équilibrer la charge des demandes dans un environnement. Cette configuration utilise plusieurs entrées DNS utilisant le même FQDN, mais pointe vers plusieurs adresses IP hôtes différentes. Il est généralement utilisé dans des applications Web qui peuvent traiter des demandes provenant de plusieurs demandeurs.
Pour utiliser l’authentification SSL, l’alias de certificat doit correspondre à l’hôte auquel il se connecte. Importez le certificat d’autorité de certification pour l’un des hôtes DC spécifiques dans la configuration à permutation circulaire et configurez NetWorker authc pour qu’il pointe uniquement vers ce contrôleur de domaine pour les demandes d’authentification. Si vous le souhaitez, vous pouvez importer les certificats pour chaque hôte dans la configuration CC à permutation circulaire. En cas de problème avec l’hôte initialement configuré, vous pouvez mettre à jour la configuration pour pointer vers l’autre serveur DC pour lequel le certificat a déjà été importé.
Voir: NetWorker : Comment configurer « AD over SSL » (LDAPS) à partir de l’interface utilisateur Web NetWorker (NWUI)
Дополнительная информация
Затронутые продукты
NetWorkerСвойства статьи
Номер статьи: 000187608
Тип статьи: Solution
Последнее изменение: 23 May 2025
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.