NetWorker: AUTHC mislukt met "unable to find valid certification path to requested target" in round robin DC environment

摘要: U probeert AD via LDAPS (SSL) authenticatie te configureren met NetWorker AUTHC. Na het volgen van de procedure voor het importeren van het certificaat dat vereist is voor SSL in de Java/NRE cacerts keystore, wordt een fout ontvangen bij het maken van de externe autoriteitsbron: Er is een SSL-handshake-fout opgetreden tijdens een poging om verbinding te maken met LDAPS-server: kan geen geldig certificeringspad vinden voor het aangevraagde doel. Dit KB-artikel is specifiek voor wanneer round robin wordt gebruikt in de DNS/DC-configuratie. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

OPMERKING: CA-certificaat van de AD-server moet worden geïmporteerd in de NetWorker JRE/NRE .. /lib/sercurity/cacerts keystore om SSL-communicatie tussen AUTHC en authenticatieserver tot stand te brengen.
  • De configuratie mislukt met:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • U gebruikt een 'alias' voor de AD-server die verbinding maakt met verschillende DC's in een Round Robin-configuratie. 

原因

Het geïmporteerde certificaat is gekoppeld aan de round robin alias FQDN; de configuratie probeert echter ssl te koppelen aan een specifieke server in de Round Robin-configuratie. 
Bijvoorbeeld, waarbij "ad-ldap.emclab.local" is geconfigureerd in DNS als round robin alias die verwijst naar verschillende DC-hosts in de omgeving. Als u het certificaat verzamelt met openssl terwijl u de alias gebruikt, wordt het certificaat geretourneerd voor een van de hosts ("dc1.emclab.local") die beschikbaar zijn via Round Robin

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Als het certificaat wordt geïmporteerd naar de JRE/NRE cacerts keystore met behulp van de round robin alias "ad-ldap.emclab.local" kan de configuratie niet overeenkomen met de "dc1.emclab.local" of een andere server in de round robin-configuratie vanwege de niet-overeenkomende naam.

解析度

U kunt een round robin alias gebruiken in niet-SSL-verbindingen (LDAP), omdat dit geen certificaten gebruikt en geen SSL-fout zal opleveren.
 
OPMERKING: Round Robin kan worden geconfigureerd voor load-balance aanvragen in een omgeving. Deze configuratie gebruikt meerdere DNS-vermeldingen met dezelfde FQDN, maar wijst naar meerdere verschillende host-IP's. Dit wordt meestal gebruikt in webgebaseerde applicaties die aanvragen van meerdere aanvragers kunnen verwerken.

Om SSL-authenticatie te gebruiken, moet de certificaatalias overeenkomen met de host waarmee deze verbinding maakt. Importeer het CA-certificaat voor een van de specifieke DC-hosts in de Round Robin-configuratie en configureer NetWorker authc om alleen naar die DC te verwijzen voor verificatieaanvragen; Optioneel kunt u de certificaten voor elke host importeren in de Round Robin DC-configuratie. In het geval dat er een probleem is met de host die in eerste instantie is geconfigureerd, kunt u de configuratie bijwerken om te verwijzen naar de andere DC-server waarvoor het certificaat al is geïmporteerd.

Zie: NetWorker: 'AD over SSL' (LDAPS) configureren vanuit de NetWorker Web User Interface (NWUI)

其他資訊

NetWorker: LDAPS-integratie mislukt met "An SSL handshake error occurred while attempting to connect to LDAPS server: Unable to find valid certification path to requested target"

受影響的產品

NetWorker
文章屬性
文章編號: 000187608
文章類型: Solution
上次修改時間: 23 5月 2025
版本:  3
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。