NetWorker: Funkce AUTHC selže v prostředí kruhového dotazování DC a "unable to find valid certification path to requested target"

摘要: Pokoušíte se nakonfigurovat ověřování AD přes protokol LDAPS (SSL) pomocí technologie NetWorker AUTHC. Po provedení postupu importu certifikátu požadovaného pro protokol SSL do úložiště klíčů Java/NRE dojde při vytváření zdroje externí autority k chybě: Při pokusu o připojení k serveru LDAPS došlo k chybě handshake SSL: Unable to find valid certification path to requested target. Tento článek databáze znalostí je specifický pro použití kruhového dotazování v konfiguraci DNS/DC. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

POZNÁMKA: Certifikát CA ze serveru AD je třeba importovat do prostředí NetWorker JRE/NRE. /lib/sercurity/cacerts keystore za účelem vytvoření komunikace SSL mezi AUTHC a ověřovacím serverem.
  • Konfigurace se nezdaří a:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • Používáte "alias" pro server AD, který se připojuje k různým řadičům domény v konfiguraci kruhového dotazování. 

原因

Importovaný certifikát je vázán na alias kruhového dotazování FQDN. konfigurace se však pokouší vytvořit vazbu SSL na konkrétní server v konfiguraci kruhového dotazování. 
Například kde je soubor "ad-ldap.emclab.local" nakonfigurován v systému DNS jako alias kruhového dotazování, který odkazuje na několik hostitelů DC v prostředí. Shromažďování certifikátu pomocí příkazu openssl při použití aliasu vrátí certifikát pro jednoho z hostitelů ("dc1.emclab.local"), který je dostupný prostřednictvím kruhového dotazování.

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Pokud je certifikát importován do úložiště klíčů JRE/NRE cacerts pomocí aliasu kruhového dotazování "ad-ldap.emclab.local", konfigurace nebude schopna kvůli neshodě názvu odpovídat souboru "dc1.emclab.local" ani jinému serveru v konfiguraci kruhového dotazování.

解析度

Alias kruhového dotazování můžete použít v připojeních, která nejsou typu SSL (LDAP), protože nevyužívá žádné certifikáty a nezpůsobí chybu SSL.
 
POZNÁMKA: Kruhové dotazování lze konfigurovat na požadavky vyrovnávání zatížení v prostředí. Tato konfigurace by používala více položek DNS se stejným názvem FQDN, ale odkazoval na několik různých IP adres hostitele. Obvykle se používá ve webových aplikacích, které mohou zpracovávat požadavky od více žadatelů.

Chcete-li použít ověřování SSL, musí alias certifikátu odpovídat hostiteli, ke kterému se připojuje. Importujte certifikát CA pro jednoho z konkrétních hostitelů DC v konfiguraci kruhového dotazování a nakonfigurujte server NetWorker authc tak, aby odkazovat pouze na daný řadič domény pro požadavky na ověření; volitelně můžete importovat certifikáty pro každého hostitele v konfiguraci kruhového dotazování řadiče domény. V případě, že došlo k problému s počáteční konfigurací hostitele, můžete aktualizovat konfiguraci tak, aby odkazovala na druhý server DC, pro který byl certifikát již importován.

Viz: NetWorker: Jak nakonfigurovat protokol "AD over SSL" (LDAPS) z webového uživatelského rozhraní NetWorker (NWUI)

其他資訊

NetWorker: Integrace serveru LDAPS se nezdaří a zobrazí se chyba "Došlo k chybě handshaku SSL při pokusu o připojení k serveru LDAPS: Unable to find valid certification path to requested target".

受影響的產品

NetWorker
文章屬性
文章編號: 000187608
文章類型: Solution
上次修改時間: 23 5月 2025
版本:  3
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。