Устранение неполадок, связанных с сертификатом

В файле журнала Google Cloud Directory Sync (GCDS) вы можете встретить следующие ошибки, связанные с сертификатом:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Чтобы устранить их, выполните указанные ниже инструкции.

Содержание

Как устранить ошибки, связанные с сертификатами

Развернуть раздел  |  Свернуть все и перейти к началу

Инструкции для Microsoft Windows

Как обновить файл vmoption

  1. Закройте Диспетчер конфигураций.
  2. В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions.

    Обычно каталог установки будет следующим: C:\Program Files\Google Cloud Directory Sync.

  3. Добавьте в файлы следующие строки:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Перезапустите Диспетчер конфигураций и перейдите на страницу LDAP Configuration (Конфигурация LDAP).
  5. Для настройки Connection type (Тип подключения) укажите LDAP+SSL.
  6. В поле Port (Порт) укажите одно из следующих значений:
    • Если вы ранее использовали 389, введите 636.
    • Если вы ранее использовали 3268, укажите 3269.
  7. Нажмите Test connection (Проверить подключение).
  8. Дополнительные действия:
    • Если возникнет ошибка сертификата, на компьютере, на котором запущен инструмент GCDS, убедитесь, что сертификат является доверенным в Windows. Затем перейдите к разделу Шаг 2. Импортируйте сертификат сервера.
    • Если возникнет ошибка проверки отзыва сертификата, выполните действия в разделе Как GCDS проверяет списки отзыва сертификатов.
    • В случае появление других ошибок, например связанных с сетью, ознакомьтесь с инструкциями в статье Устранение неполадок в GCDS.

Как импортировать сертификат сервера

С помощью этих инструкций вы также можете импортировать сертификаты с серверов LDAP или самозаверяющие сертификаты с прокси-серверов HTTP.

  1. Войдите в контроллер домена и откройте командную строку.
  2. Чтобы экспортировать сертификат контроллера домена, введите следующую команду:

    certutil -store My DomainController dccert.cer

  3. Скопируйте файл dccert.cer на сервер, где установлено приложение GCDS.
  4. Откройте командную строку от имени администратора.
  5. Чтобы перейти в каталог, где установлена среда выполнения Java (JRE) приложения GCDS, введите следующую команду:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Если вы используете 32-разрядную версию GCDS в 64-разрядной версии Windows, введите cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".

  6. Чтобы импортировать сертификат контроллера домена, используйте следующую команду:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Если вам нужно импортировать несколько сертификатов, повторите эти шаги, используя другой псевдоним вместо mydc.

  7. Чтобы сделать сертификат доверенным, введите Yes (Да).
  8. Закройте Диспетчер конфигураций.
  9. В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.
  10. В каждом файле удалите следующие строки:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    После этого GCDS будет использовать сертификат, хранящийся в каталоге lib/security/cacerts, а не в системном хранилище Windows.

  11. Откройте Диспетчер конфигураций, перейдите на страницу LDAP Configuration (Конфигурация LDAP) и нажмите Test Connections (Протестировать соединения).
  12. Если ошибки продолжают появляться, вместо сертификата контроллера домена импортируйте тот, что подписан центром сертификации вашей организации. Для этого повторите описанные шаги, но экспортируйте и импортируйте сертификат ЦС.
Инструкции для Linux

С помощью этих инструкций вы также можете импортировать сертификаты с серверов LDAP или самозаверяющие сертификаты с прокси-серверов HTTP.

  1. Войдите в контроллер домена и откройте командную строку.
  2. Чтобы найти сертификат домена, введите следующую команду:

    certutil -store My DomainController dccert.cer

  3. Скопируйте файл dccert.cer на сервер, где установлено приложение GCDS.
  4. Чтобы открыть папку, где установлена среда Java Runtime Environment (JRE) утилиты GCDS, откройте командную строку и введите следующую команду:

    cd ~/GoogleCloudDirSync/jre

  5. Чтобы импортировать сертификат контроллера домена, используйте следующую команду:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Если вам нужно импортировать несколько сертификатов, повторите эти шаги, используя другой псевдоним вместо mydc.

  6. Чтобы сделать сертификат доверенным, введите Yes (Да).
  7. Закройте Диспетчер конфигураций.
  8. В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.

    Обычно каталог установки будет следующим: ~/GoogleCloudDirSync.

  9. В каждом файле удалите следующие строки:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    После этого GCDS будет использовать сертификат, хранящийся в каталоге lib/security/cacerts, а не в системном хранилище Windows.

  10. Откройте Диспетчер конфигураций, перейдите на страницу LDAP Configuration (Конфигурация LDAP) и нажмите Test Connections (Протестировать соединения).
  11. Если ошибки продолжают появляться, вместо сертификата контроллера домена импортируйте тот, что подписан центром сертификации вашей организации. Для этого повторите описанные шаги, но экспортируйте и импортируйте сертификат ЦС.

Как GCDS проверяет списки отзыва сертификатов

При подключении к API Google (через HTTPS) и серверу LDAP по протоколу SSL приложение GCDS проверяет сертификаты SSL. Для этого оно получает списки отзыва сертификатов из центров сертификации по протоколу HTTP. Иногда подключение установить не удается, потому что прокси-сервер или брандмауэр блокирует HTTP-запрос.

Проверьте, может ли сервер GCDS открыть следующие URL через HTTP (порт 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Сведения о текущих списках отзыва сертификатов приведены в разделе Проверка CRL. Если для LDAP через SSL вы используете собственные сертификаты, вам могут потребоваться дополнительные URL.

Если получить доступ к спискам отзыва сертификатов не удается, попробуйте отключить их проверку.

  1. В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.

    Обычно он расположен по следующему пути: C:\Program Files\Google Cloud Directory Sync (Windows) или ~/GoogleCloudDirSync (Linux).

  2. Добавьте в файлы следующие строки:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

Медленная синхронизация после перехода на LDAP+SSL

Попробуйте выполнить следующие действия:

  1. Закройте Диспетчер конфигураций.
  2. В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.

    Обычно он расположен по следующему пути: C:\Program Files\Google Cloud Directory Sync (Windows) или ~/GoogleCloudDirSync (Linux).

  3. Добавьте в файлы следующие строки:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Сохраните файлы и снова запустите синхронизацию.

Как настроить аутентификацию после установки обновления Microsoft ADV190023

Если вы используете Microsoft Active Directory с включенным связыванием каналов и подписыванием LDAP, вам необходимо принять меры, чтобы аутентификация GCDS выполнялась с использованием LDAP через SSL. В противном случае GCDS не будет подключаться к Active Directory и выполнить синхронизацию не удастся. Следуйте приведенным ниже инструкциям, даже если ранее запускали синхронизацию с помощью аутентификации через стандартный LDAP. Дополнительная информация об обновлении ADV190023 приведена в документации Microsoft.

Если вы уже используете SSL-подключение к серверу LDAP, дальнейших действий с вашей стороны не требуется.

Развернуть раздел  |  Свернуть все и перейти к началу

Шаг 1. Включите TLS в Active Directory Шаг 2. Убедитесь, что сертификат является доверенным

Центр сертификации, подписывающий сертификат вашего контроллера домена, должен быть одобрен GCDS. Многие известные интернет-центры сертификации, такие как Verisign, Comodo и Let's Encrypt, являются доверенными. Если вы используете их, пропустите этот шаг.

Если ваш центр сертификации не является доверенным или вы используете корневой центр сертификации, следуйте инструкциям в разделе Как устранить ошибки, связанные с сертификатами.
Шаг 3. Настройте Диспетчер конфигураций
  1. Откройте Диспетчер конфигураций и перейдите на страницу LDAP Configuration (Конфигурация LDAP).
  2. Для настройки Connection type (Тип подключения) укажите LDAP+SSL.
  3. Для настройки порта укажите 636 (если ранее использовали порт 389) или 3269 (если ранее использовали порт 3268).
  4. Нажмите Test connection (Проверить подключение).


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
2363321176069107794
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false