NetWorker: AUTHC ei löydä kelvollista sertifiointipolkua pyydettyyn kohteeseen Round Robin DC -ympäristössä

摘要: Yrität määrittää AD over LDAPS (SSL) -todennuksen NetWorker AUTHC :lla. Kun olet tuonut SSL:n vaatiman varmenteen Java/NRE cacerts -avaimiin, näyttöön tulee virhe luotaessa ulkoisen varmenteen resurssia: SSL-kättelyvirhe yritettäessä muodostaa yhteyttä LDAPS-palvelimeen: pyydettyyn kohteeseen ei löydy kelvollista sertifiointipolkua. Tämä tietämyskanta koskee sitä, milloin DNS/DC-määrityksessä käytetään Round Robin -toimintoa. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

HUOMAUTUS: CA-varmenne AD-palvelimesta on tuotava NetWorker JRE/NRE -palvelimeen. /lib/sercurity/cacerts-avaintore SSL-viestinnän muodostamiseksi AUTHC:n ja todennuspalvelimen välillä.
  • Määritys epäonnistuu seuraavasti:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • Käytät AD-palvelimessa aliasta, joka muodostaa yhteyden eri toimialueen ohjaimiin Round Robin -määrityksessä. 

原因

Tuotu varmenne liittyy round robin alias -tunnuksen FQDN-nimiin. Määritys yrittää kuitenkin sitoa SSL:n tiettyyn palvelimeen Round Robin -määrityksessä. 
Esimerkiksi ad-ldap.emclab.local on määritetty DNS:ssä round robin -aliakseksi, joka viittaa useisiin ympäristön DC-isäntiin. Kun sertifikaattia kerätään käyttämällä aliaksia, jonkin isännän varmenne ("dc1.emclab.local") palautetaan round robinin kautta saatavilla olevan varmenteen mukaisesti.

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Jos varmenne tuodaan JRE/NRE cacerts -avainsäilön käyttämällä round robin -aliasta ad-ldap.emclab.local, kokoonpano ei voi vastata "dc1.emclab.local"-tiedostoa tai mitään muuta round robin -kokoonpanon palvelinta nimiristiriidan vuoksi.

解析度

Round Robin -aliasta voi käyttää muissa kuin SSL (LDAP) -yhteyksissä, koska se ei käytä varmenteita eikä aiheuta SSL-virhettä.
 
HUOMAUTUS: Round Robin voidaan määrittää kuormituksentasauksen pyynnöille ympäristössä. Tässä määrityksessä käytetään useita DNS-kirjauksia, jotka käyttävät samaa FQDN-nimeä, mutta viittaavat useisiin eri isännän IP-osoitteisiin. Tällä on tavallisesti käyttötarkoitukset verkkopohjaisissa sovelluksissa, jotka saattavat käsitellä useiden pyytäjien pyyntöjä.

SSL-todennuksen käyttö edellyttää, että varmenteiden aliakset vastaavat isäntää, johon se muodostaa yhteyden. Tuo ca-varmenne yhteen tiettyyn round robin -määrityksessä määritettyyn toimialueen ohjauskoneen isäntään ja määritä NetWorker authc viittaamaan ainoastaan kyseiseen toimialueen ohjauskoneiden todennuspyyntöihin; Vaihtoehtoisesti voit tuoda kunkin isännän sertifikaatit Round Robin DC -kokoonpanossa. Jos isännässä on ongelma, joka on määritetty alun perin, voit päivittää määrityksen osoittamaan toiseen dc-palvelimeen, jolle varmenne on jo tuotu.

Katso: NetWorker: AD over SSL:n (LDAPS) määrittäminen NetWorker-verkkokäyttöliittymässä (NWUI)

其他資訊

NetWorker: LDAPS-integraatio epäonnistuu virheen "An SSL handshake error occurred while attempt to connect to LDAPS server: Unable to find valid certification path to requested target"

受影響的產品

NetWorker
文章屬性
文章編號: 000187608
文章類型: Solution
上次修改時間: 23 5月 2025
版本:  3
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。