NetWorker: AUTHC mislukt met "unable to find valid certification path to requested target" in round robin DC environment

摘要: U probeert AD via LDAPS (SSL) authenticatie te configureren met NetWorker AUTHC. Na het volgen van de procedure voor het importeren van het certificaat dat vereist is voor SSL in de Java/NRE cacerts keystore, wordt een fout ontvangen bij het maken van de externe autoriteitsbron: Er is een SSL-handshake-fout opgetreden tijdens een poging om verbinding te maken met LDAPS-server: kan geen geldig certificeringspad vinden voor het aangevraagde doel. Dit KB-artikel is specifiek voor wanneer round robin wordt gebruikt in de DNS/DC-configuratie. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

OPMERKING: CA-certificaat van de AD-server moet worden geïmporteerd in de NetWorker JRE/NRE .. /lib/sercurity/cacerts keystore om SSL-communicatie tussen AUTHC en authenticatieserver tot stand te brengen.
  • De configuratie mislukt met:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • U gebruikt een 'alias' voor de AD-server die verbinding maakt met verschillende DC's in een Round Robin-configuratie. 

原因

Het geïmporteerde certificaat is gekoppeld aan de round robin alias FQDN; de configuratie probeert echter ssl te koppelen aan een specifieke server in de Round Robin-configuratie. 
Bijvoorbeeld, waarbij "ad-ldap.emclab.local" is geconfigureerd in DNS als round robin alias die verwijst naar verschillende DC-hosts in de omgeving. Als u het certificaat verzamelt met openssl terwijl u de alias gebruikt, wordt het certificaat geretourneerd voor een van de hosts ("dc1.emclab.local") die beschikbaar zijn via Round Robin

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Als het certificaat wordt geïmporteerd naar de JRE/NRE cacerts keystore met behulp van de round robin alias "ad-ldap.emclab.local" kan de configuratie niet overeenkomen met de "dc1.emclab.local" of een andere server in de round robin-configuratie vanwege de niet-overeenkomende naam.

解决方案

U kunt een round robin alias gebruiken in niet-SSL-verbindingen (LDAP), omdat dit geen certificaten gebruikt en geen SSL-fout zal opleveren.
 
OPMERKING: Round Robin kan worden geconfigureerd voor load-balance aanvragen in een omgeving. Deze configuratie gebruikt meerdere DNS-vermeldingen met dezelfde FQDN, maar wijst naar meerdere verschillende host-IP's. Dit wordt meestal gebruikt in webgebaseerde applicaties die aanvragen van meerdere aanvragers kunnen verwerken.

Om SSL-authenticatie te gebruiken, moet de certificaatalias overeenkomen met de host waarmee deze verbinding maakt. Importeer het CA-certificaat voor een van de specifieke DC-hosts in de Round Robin-configuratie en configureer NetWorker authc om alleen naar die DC te verwijzen voor verificatieaanvragen; Optioneel kunt u de certificaten voor elke host importeren in de Round Robin DC-configuratie. In het geval dat er een probleem is met de host die in eerste instantie is geconfigureerd, kunt u de configuratie bijwerken om te verwijzen naar de andere DC-server waarvoor het certificaat al is geïmporteerd.

Zie: NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)

其他信息

NetWorker: LDAPS-integratie mislukt met "An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target"

受影响的产品

NetWorker
文章属性
文章编号: 000187608
文章类型: Solution
上次修改时间: 23 5月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。