В файле журнала Google Cloud Directory Sync (GCDS) вы можете встретить следующие ошибки, связанные с сертификатом:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Чтобы устранить их, выполните указанные ниже инструкции.
Содержание
- Как устранить ошибки, связанные с сертификатами
- Как GCDS проверяет списки отзыва сертификатов
- Медленная синхронизация после перехода на LDAP+SSL
- Проверьте, корректно ли выполняется аутентификация после обновления Microsoft ADV190023
Как устранить ошибки, связанные с сертификатами
Развернуть раздел | Свернуть все и перейти к началу
Инструкции для Microsoft WindowsКак обновить файл vmoption
- Закройте Диспетчер конфигураций.
- В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions.
Обычно каталог установки будет следующим: C:\Program Files\Google Cloud Directory Sync.
- Добавьте в файлы следующие строки:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Перезапустите Диспетчер конфигураций и перейдите на страницу LDAP Configuration (Конфигурация LDAP).
- Для настройки Connection type (Тип подключения) укажите LDAP+SSL.
- В поле Port (Порт) укажите одно из следующих значений:
- Если вы ранее использовали 389, введите 636.
- Если вы ранее использовали 3268, укажите 3269.
- Нажмите Test connection (Проверить подключение).
- Дополнительные действия:
- Если возникнет ошибка сертификата, на компьютере, на котором запущен инструмент GCDS, убедитесь, что сертификат является доверенным в Windows. Затем перейдите к разделу Шаг 2. Импортируйте сертификат сервера.
- Если возникнет ошибка проверки отзыва сертификата, выполните действия в разделе Как GCDS проверяет списки отзыва сертификатов.
- В случае появление других ошибок, например связанных с сетью, ознакомьтесь с инструкциями в статье Устранение неполадок в GCDS.
Как импортировать сертификат сервера
С помощью этих инструкций вы также можете импортировать сертификаты с серверов LDAP или самозаверяющие сертификаты с прокси-серверов HTTP.
- Войдите в контроллер домена и откройте командную строку.
- Чтобы экспортировать сертификат контроллера домена, введите следующую команду:
certutil -store My DomainController dccert.cer
- Скопируйте файл dccert.cer на сервер, где установлено приложение GCDS.
- Откройте командную строку от имени администратора.
- Чтобы перейти в каталог, где установлена среда выполнения Java (JRE) приложения GCDS, введите следующую команду:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Если вы используете 32-разрядную версию GCDS в 64-разрядной версии Windows, введите cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".
- Чтобы импортировать сертификат контроллера домена, используйте следующую команду:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Если вам нужно импортировать несколько сертификатов, повторите эти шаги, используя другой псевдоним вместо mydc.
- Чтобы сделать сертификат доверенным, введите Yes (Да).
- Закройте Диспетчер конфигураций.
- В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.
- В каждом файле удалите следующие строки:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTПосле этого GCDS будет использовать сертификат, хранящийся в каталоге lib/security/cacerts, а не в системном хранилище Windows.
- Откройте Диспетчер конфигураций, перейдите на страницу LDAP Configuration (Конфигурация LDAP) и нажмите Test Connections (Протестировать соединения).
- Если ошибки продолжают появляться, вместо сертификата контроллера домена импортируйте тот, что подписан центром сертификации вашей организации. Для этого повторите описанные шаги, но экспортируйте и импортируйте сертификат ЦС.
С помощью этих инструкций вы также можете импортировать сертификаты с серверов LDAP или самозаверяющие сертификаты с прокси-серверов HTTP.
- Войдите в контроллер домена и откройте командную строку.
- Чтобы найти сертификат домена, введите следующую команду:
certutil -store My DomainController dccert.cer
- Скопируйте файл dccert.cer на сервер, где установлено приложение GCDS.
- Чтобы открыть папку, где установлена среда Java Runtime Environment (JRE) утилиты GCDS, откройте командную строку и введите следующую команду:
cd ~/GoogleCloudDirSync/jre
- Чтобы импортировать сертификат контроллера домена, используйте следующую команду:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Если вам нужно импортировать несколько сертификатов, повторите эти шаги, используя другой псевдоним вместо mydc.
- Чтобы сделать сертификат доверенным, введите Yes (Да).
- Закройте Диспетчер конфигураций.
- В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.
Обычно каталог установки будет следующим: ~/GoogleCloudDirSync.
- В каждом файле удалите следующие строки:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTПосле этого GCDS будет использовать сертификат, хранящийся в каталоге lib/security/cacerts, а не в системном хранилище Windows.
- Откройте Диспетчер конфигураций, перейдите на страницу LDAP Configuration (Конфигурация LDAP) и нажмите Test Connections (Протестировать соединения).
- Если ошибки продолжают появляться, вместо сертификата контроллера домена импортируйте тот, что подписан центром сертификации вашей организации. Для этого повторите описанные шаги, но экспортируйте и импортируйте сертификат ЦС.
Как GCDS проверяет списки отзыва сертификатов
При подключении к API Google (через HTTPS) и серверу LDAP по протоколу SSL приложение GCDS проверяет сертификаты SSL. Для этого оно получает списки отзыва сертификатов из центров сертификации по протоколу HTTP. Иногда подключение установить не удается, потому что прокси-сервер или брандмауэр блокирует HTTP-запрос.
Проверьте, может ли сервер GCDS открыть следующие URL через HTTP (порт 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Сведения о текущих списках отзыва сертификатов приведены в разделе Проверка CRL. Если для LDAP через SSL вы используете собственные сертификаты, вам могут потребоваться дополнительные URL.
Если получить доступ к спискам отзыва сертификатов не удается, попробуйте отключить их проверку.
- В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.
Обычно он расположен по следующему пути: C:\Program Files\Google Cloud Directory Sync (Windows) или ~/GoogleCloudDirSync (Linux).
- Добавьте в файлы следующие строки:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
Медленная синхронизация после перехода на LDAP+SSL
Попробуйте выполнить следующие действия:
- Закройте Диспетчер конфигураций.
- В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions, используя текстовый редактор.
Обычно он расположен по следующему пути: C:\Program Files\Google Cloud Directory Sync (Windows) или ~/GoogleCloudDirSync (Linux).
- Добавьте в файлы следующие строки:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Сохраните файлы и снова запустите синхронизацию.
Как настроить аутентификацию после установки обновления Microsoft ADV190023
Если вы используете Microsoft Active Directory с включенным связыванием каналов и подписыванием LDAP, вам необходимо принять меры, чтобы аутентификация GCDS выполнялась с использованием LDAP через SSL. В противном случае GCDS не будет подключаться к Active Directory и выполнить синхронизацию не удастся. Следуйте приведенным ниже инструкциям, даже если ранее запускали синхронизацию с помощью аутентификации через стандартный LDAP. Дополнительная информация об обновлении ADV190023 приведена в документации Microsoft.
Если вы уже используете SSL-подключение к серверу LDAP, дальнейших действий с вашей стороны не требуется.
Развернуть раздел | Свернуть все и перейти к началу
Шаг 1. Включите TLS в Active DirectoryПримечание. Термины TLS и SSL часто используются как взаимозаменяемые.
О том, как включить TLS в Active Directory, читайте в следующих статьях Microsoft:
Центр сертификации, подписывающий сертификат вашего контроллера домена, должен быть одобрен GCDS. Многие известные интернет-центры сертификации, такие как Verisign, Comodo и Let's Encrypt, являются доверенными. Если вы используете их, пропустите этот шаг.
Если ваш центр сертификации не является доверенным или вы используете корневой центр сертификации, следуйте инструкциям в разделе Как устранить ошибки, связанные с сертификатами.- Откройте Диспетчер конфигураций и перейдите на страницу LDAP Configuration (Конфигурация LDAP).
- Для настройки Connection type (Тип подключения) укажите LDAP+SSL.
- Для настройки порта укажите 636 (если ранее использовали порт 389) или 3269 (если ранее использовали порт 3268).
- Нажмите Test connection (Проверить подключение).
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.