인증서 관련 문제 해결하기

Google Cloud 디렉터리 동기화(GCDS) 로그 파일에 다음과 같은 인증서 관련 오류가 표시될 수 있습니다.

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

다음 단계에 따라 이러한 오류를 해결하세요. 

이 페이지의 내용

인증서 관련 오류 수정하기

섹션 열기  |  모두 접고 상단으로 이동하기

Microsoft Windows용 단계

vmoption 파일 업데이트 

  1. 구성 관리자를 닫습니다.
  2. GCDS의 설치 디렉터리에서 sync-cmd.vmoptionsconfig-manager.vmoptions 파일을 엽니다.

    설치 디렉터리는 일반적으로 C:\Program Files\Google Cloud Directory Sync입니다.

  3. 파일을 수정하여 다음 행을 추가합니다.

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. '구성 관리자'를 다시 시작하고 LDAP 구성 페이지로 이동합니다.
  5. 연결 유형에서 LDAP+SSL을 지정합니다.
  6. 포트에서 다음 옵션 중 하나를 선택합니다.
    • 이전에 389를 사용한 경우 636을 지정합니다.
    • 이전에 3268을 사용한 경우 3269를 지정합니다.
  7. 연결 테스트를 클릭합니다.
  8. 다음 경우에 따라 조치합니다.

서버 인증서 가져오기

이 단계를 사용하여 LDAP 서버 인증서 또는 자체 서명한 인증서를 사용하는 HTTP 프록시의 인증서를 가져올 수도 있습니다.

  1. 도메인 컨트롤러에 로그인하고 명령 프롬프트를 엽니다.
  2. 도메인 컨트롤러 인증서를 내보내려면 다음 명령어를 입력합니다.

    certutil -store My DomainController dccert.cer

  3. dccert.cer 파일을 GCDS가 설치된 서버에 복사합니다.
  4. 관리자 권한으로 명령 프롬프트를 엽니다.
  5. GCDS 자바 런타임 환경(JRE) 설치 폴더를 열려면 다음 명령어를 입력합니다.

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    64비트 Windows 시스템에 설치된 32비트 버전의 GCDS를 실행하는 경우 cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"를 사용합니다.

  6. 도메인 컨트롤러의 인증서를 가져오려면 다음 명령어를 입력합니다.

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    인증서를 두 개 이상 가져와야 하는 경우 mydc 대신 다른 별칭을 사용하여 이 단계를 반복합니다.

  7. 인증서를 신뢰하려면 를 입력합니다.
  8. 구성 관리자를 닫습니다.
  9. GCDS의 설치 디렉터리에서 텍스트 편집기를 사용하여 sync-cmd.vmoptionsconfig-manager.vmoptions 파일을 엽니다.
  10. 각 파일에서 다음 행을 삭제합니다.

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    위의 행을 삭제하면 GCDS에서 Windows 시스템 저장소 대신 lib/security/cacerts의 인증서 저장소를 사용하게 됩니다.

  11. 구성 관리자를 열고 LDAP 구성 페이지로 이동한 다음 연결 테스트를 클릭합니다.
  12. 인증서 관련 오류가 계속 표시되는 경우 도메인 컨트롤러 인증서가 아닌 조직의 인증 기관(CA) 인증서를 가져와야 할 수도 있습니다. 이렇게 하려면 이 단계를 반복하되 대신 CA 인증서를 내보내고 가져옵니다.
Linux용 단계

이 단계를 사용하여 LDAP 서버 인증서 또는 자체 서명한 인증서를 사용하는 HTTP 프록시의 인증서를 가져올 수도 있습니다.

  1. 도메인 컨트롤러에 로그인하고 명령 프롬프트를 엽니다.
  2. 도메인 인증서를 찾으려면 다음 명령어를 입력합니다.

    certutil -store My DomainController dccert.cer

  3. dccert.cer 파일을 GCDS가 설치된 서버에 복사합니다.
  4. GCDS Java 런타임 환경(JRE) 설치 폴더를 열려면 명령 프롬프트를 열고 다음 명령어를 입력합니다.

    cd ~/GoogleCloudDirSync/jre

  5. 도메인 컨트롤러의 인증서를 가져오려면 다음 명령어를 입력하세요.

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    인증서를 두 개 이상 가져와야 하는 경우 mydc 대신 다른 별칭을 사용하여 이 단계를 반복합니다.

  6. 인증서를 신뢰하려면 를 입력합니다.
  7. 구성 관리자를 닫습니다.
  8. GCDS의 설치 디렉터리에서 텍스트 편집기를 사용하여 sync-cmd.vmoptionsconfig-manager.vmoptions 파일을 엽니다.

    설치 디렉터리는 일반적으로 ~/GoogleCloudDirSync입니다.

  9. 각 파일에서 다음 행을 삭제합니다.

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    위의 행을 삭제하면 GCDS에서 Windows 시스템 저장소 대신 lib/security/cacerts의 인증서 저장소를 사용하게 됩니다.

  10. 구성 관리자를 열고 LDAP 구성 페이지로 이동한 다음 연결 테스트를 클릭합니다.
  11. 인증서 관련 오류가 계속 표시되는 경우 도메인 컨트롤러 인증서가 아닌 조직의 인증 기관(CA) 인증서를 가져와야 할 수도 있습니다. 이렇게 하려면 이 단계를 반복하되 대신 CA 인증서를 내보내고 가져옵니다.

GCDS에서 해지 인증서 목록을 확인하는 방법

GCDS에서는 HTTPS를 통해 Google API에 연결하고 SSL을 통해 LDAP을 연결할 때 보안 소켓 레이어(SSL) 인증서가 유효한지 확인해야 합니다. GCDS에서는 HTTP를 통해 인증 기관에서 제공한 해지 인증서 목록(CRL)을 검색하여 이 작업을 수행합니다. 일반적으로 HTTP 요청을 차단하는 프록시나 방화벽으로 인해 확인에 실패하는 경우가 있습니다.

GCDS 서버가 HTTP(포트 80)를 통해 다음 URL에 액세스할 수 있는지 확인하시기 바랍니다.

  • http://crl.pki.goog
  • http://crls.pki.goog

현재 CRL에 대한 세부정보는 CRL 검사를 참고하세요. SSL을 통한 LDAP용 자체 인증서를 사용하는 경우 추가 URL이 필요할 수 있습니다.

CRL 액세스를 허용할 수 없다면 CRL 확인을 사용 중지할 수 있습니다.

  1. GCDS의 설치 디렉터리에 있는 sync-cmd.vmoptionsconfig-manager.vmoptions 파일을 텍스트 편집기를 사용해 엽니다.

    일반적으로 설치 디렉터리는 C:\Program Files\Google Cloud Directory Sync(Windows) 또는 ~/GoogleCloudDirSync(Linux)입니다.

  2. 파일에 다음 행을 추가합니다.

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

LDAP+SSL로 전환한 후 동기화가 느려진 경우

LDAP+SSL로 전환했는데 동기화 처리 속도가 느린 경우 다음 안내를 따르세요. 

  1. 구성 관리자를 닫습니다.
  2. GCDS의 설치 디렉터리에서 텍스트 편집기를 사용하여 sync-cmd.vmoptionsconfig-manager.vmoptions 파일을 엽니다.

    일반적으로 설치 디렉터리는 C:\Program Files\Google Cloud Directory Sync(Windows) 또는 ~/GoogleCloudDirSync(Linux)입니다.

  3. 파일을 수정하여 다음 행을 추가합니다.

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. 파일을 저장하고 동기화를 다시 시도합니다.

Microsoft ADV190023 업데이트 후 인증 확인하기

채널 바인딩 및 LDAP 서명이 사용 설정된 Microsoft Active Directory를 사용하고 있다면 추가 단계를 수행하여 GCDS에서 SSL을 통한 LDAP를 사용해 인증 작업이 작동하는지 확인해야 합니다. 이 확인 단계를 수행하지 않으면 GCDS가 Active Directory에 연결되지 않아 동기화가 실행되지 않습니다. 이전에 표준 LDAP 인증을 사용하여 동기화를 실행한 경우에도 이 단계를 수행해야 합니다. Microsoft에서 공지한 ADV190023에 대한 자세한 내용은 Microsoft 설명서를 참고하세요.

이미 SSL을 통한 LDAP를 사용하고 있다면 별도의 조치를 취하지 않아도 됩니다.

섹션 열기  |  모두 접고 상단으로 이동하기

1단계: Active Directory에서 TLS 사용 설정하기

TLS와 SSL은 보통 같은 의미로 사용됩니다. 

Active Directory에서 TLS를 사용 설정하려면 다음 Microsoft 도움말을 참고하세요.

2단계: 신뢰할 수 있는 인증서인지 확인하기

도메인 컨트롤러의 인증서에 서명한 인증 기관(CA)은 GCDS에서 신뢰할 수 있어야 합니다. Verisign, Comodo, Let's Encrypt와 같이 잘 알려진 인터넷 CA는 신뢰할 수 있습니다. 이러한 CA를 사용하고 있다면 이 단계를 건너뛰어도 됩니다.

신뢰할 수 없는 CA 또는 자체 루트 CA를 사용하고 있다면 위에 설명된 인증서 관련 오류 수정하기의 단계를 따르세요.
3단계: 구성 관리자 설정하기
  1. '구성 관리자'를 열고 LDAP 구성 페이지로 이동합니다.
  2. 연결 유형 설정에서 LDAP+SSL을 지정합니다.
  3. 포트 설정에서 636(이전에 389를 사용한 경우) 또는 3269(이전에 3268을 사용한 경우)를 지정합니다.
  4. 연결 테스트를 클릭합니다.


Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
검색
검색어 지우기
검색 닫기
기본 메뉴
18429380683564027169
true
도움말 센터 검색
true
true
true
true
true
73010
false
false