NetWorker: AUTHC зазнає невдачі з «не вдалося знайти дійсний шлях сертифікації до запитуваної цілі» в круговому середовищі DC
Сводка: Ви намагаєтеся налаштувати автентифікацію AD через LDAPS (SSL) за допомогою NetWorker AUTHC. Після виконання процедури імпорту сертифіката, необхідного для SSL, у сховище ключів Java/NRE cacerts з'являється помилка під час створення ресурсу зовнішнього авторитету: Під час спроби з'єднатися з сервером LDAPS сталася помилка SSL-рукостискання: не вдалося знайти дійсний шлях сертифікації до запитуваної цілі. Ця база даних є специфічною для випадків, коли в конфігурації DNS/DC використовується кругова система. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
- Ви намагаєтеся інтегрувати AD через SSL (LDAPS) з NetWorker AUTHC.
- Процес від KB NetWorker: Як налаштувати розпізнавання LDAPS
ПРИМІТКА: Сертифікат ЦС з сервера AD потрібно імпортувати в NetWorker JRE/NRE .. /lib/sercurity/cacerts для встановлення SSL-зв'язку між AUTHC та сервером автентифікації.
- Конфігурація завершується невдачею:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Ви використовуєте «псевдонім» для сервера AD, який з'єднується з різними DC за круговою системою.
Причина
Імпортований сертифікат прив'язаний до кругової системи під псевдонімом FQDN; однак конфігурація намагається прив'язати SSL до певного сервера в конфігурації за круговою системою.
Наприклад, де "ad-ldap.emclab.local" налаштовано в DNS як псевдонім за круговою системою, який вказує на кілька хостів DC у середовищі. Отримання сертифіката з openssl під час використання псевдоніма поверне сертифікат для одного з хостів ("dc1.emclab.local"), доступного за круговою системою
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Якщо сертифікат імпортовано до сховища ключів JRE/NRE cacerts з використанням назви за круговою системою "ad-ldap.emclab.local", налаштування не зможуть знайти "dc1.emclab.local" або будь-який інший сервер у конфігурації за круговою системою через невідповідність назви.
Разрешение
Ви можете використовувати круговий псевдонім у з'єднаннях, відмінних від SSL (LDAP), оскільки це не використовує жодних сертифікатів і не призводить до помилки SSL .
Щоб використовувати автентифікацію SSL, псевдонім сертифіката має збігатися з хостом, до якого він підключається. Імпортуйте сертифікат ЦС для одного з конкретних хостів DC у конфігурації за круговою системою та налаштуйте NetWorker authc так, щоб він вказував лише на цей DC для запитів на автентифікацію; За бажанням, ви можете імпортувати сертифікати для кожного вузла у конфігурації DC за круговою системою. Якщо виникла проблема з початково налаштованим хостом, ви можете оновити налаштування, щоб вони вказували на інший сервер DC, для якого сертифікат вже було імпортовано.
Бачити: NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
ПРИМІТКА: Round Robin можна налаштувати на запити балансу навантаження в середовищі. У цій конфігурації буде використано декілька записів DNS, які використовують один і той самий FQDN, але вказують на декілька різних IP-адрес вузлів. Зазвичай це використовується у веб-додатках, які можуть обробляти запити від кількох запитувачів.
Щоб використовувати автентифікацію SSL, псевдонім сертифіката має збігатися з хостом, до якого він підключається. Імпортуйте сертифікат ЦС для одного з конкретних хостів DC у конфігурації за круговою системою та налаштуйте NetWorker authc так, щоб він вказував лише на цей DC для запитів на автентифікацію; За бажанням, ви можете імпортувати сертифікати для кожного вузла у конфігурації DC за круговою системою. Якщо виникла проблема з початково налаштованим хостом, ви можете оновити налаштування, щоб вони вказували на інший сервер DC, для якого сертифікат вже було імпортовано.
Бачити: NetWorker: Як налаштувати "AD over SSL" (LDAPS) з веб-інтерфейсу користувача NetWorker (NWUI)
Дополнительная информация
Затронутые продукты
NetWorkerСвойства статьи
Номер статьи: 000187608
Тип статьи: Solution
Последнее изменение: 23 May 2025
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.