NetWorker. Сбой AUTHC с ошибкой «unable to find valid certification path to requested target» в среде циклической переборки DC

摘要: Вы пытаетесь настроить аутентификацию AD over LDAPS (SSL) с помощью NetWorker AUTHC. После выполнения процедуры импорта сертификата, необходимого для SSL, в хранилище ключей cacerts Java/NRE возникает ошибка при создании внешнего ресурса полномочий: При попытке подключения к серверу LDAPS произошла ошибка подтверждения SSL: не удалось найти действительный путь сертификации к запрашиваемой целевой системе. Эта статья базы знаний предназначена для того, когда в конфигурации DNS/DC используется циклический перебор. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

ПРИМЕЧАНИЕ. Сертификат центра сертификации с сервера AD необходимо импортировать в NetWorker JRE/NRE. Хранилище ключей /lib/sercurity/cacerts для установления SSL-связи между AUTHC и сервером аутентификации.
  • Сбой конфигурации со следующими ошибками:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • Используется псевдоним для сервера AD, который подключается к различным контроллерам домена в конфигурации циклического перебора. 

原因

Импортированные сертификаты связаны с FQDN-псевдонимом циклической переборки. однако конфигурация пытается выполнить привязку SSL к определенному серверу в конфигурации циклической переборки. 
Например, где «ad-ldap.emclab.local» настроен в DNS как псевдоним циклической переборки, который указывает на несколько хостов dc в среде. Сбор сертификата с помощью openssl при использовании псевдонима возвращает сертификат для одного из хостов («dc1.emclab.local»), доступный в рамках циклической переборки

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

При импорте сертификата в хранилище ключей JRE/NRE cacerts с использованием циклический перебор псевдонима «ad-ldap.emclab.local» конфигурация не сможет сопоставить «dc1.emclab.local» или любой другой сервер в конфигурации циклической переборки из-за несоответствия имен.

解决方案

В подключениях без протокола SSL (LDAP) можно использовать циклический перебор псевдонимов, так как это не использует никаких сертификатов и не приводит к ошибке SSL.
 
ПРИМЕЧАНИЕ. Циклический перебор можно настроить для запросов балансировки нагрузки в среде. В этой конфигурации будут использоваться несколько записей DNS с использованием одного и того же FQDN, но будут показаны несколько разных IP-адресов хостов. Обычно это используется в веб-приложениях, которые могут обрабатывать запросы от нескольких инициаторов запросов.

Для использования аутентификации SSL псевдоним сертификата должен совпадать с хостом, к котором он подключается. Импорт сертификата ЦС для одного из определенных хостов контроллера домена в конфигурации циклической переборки и настройка аутентификации NetWorker, указывающий только на этот контроллер домена для запросов аутентификации. Дополнительно можно импортировать сертификаты для каждого хоста в конфигурации dc циклической переборки. В случае первоначальной настройки хоста можно обновить конфигурацию так, чтобы она была указано на другом сервере dc, для которого сертификат был уже импортировано.

Видеть: NetWorker. Как настроить «AD over SSL» (LDAPS) в веб-интерфейсе NetWorker (NWUI)

其他信息

NetWorker. Сбой интеграции LDAPS с ошибкой «An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target»

受影响的产品

NetWorker
文章属性
文章编号: 000187608
文章类型: Solution
上次修改时间: 23 5月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。