Nel file di log di Google Cloud Directory Sync (GCDS) potresti notare i seguenti errori relativi ai certificati:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Per correggere questi errori, procedi come indicato di seguito.
In questa pagina
- Correggere gli errori relativi ai certificati
- In che modo GCDS verifica gli elenchi revoche certificati
- La sincronizzazione è rallentata dopo il passaggio a LDAP+SSL
- Garantire l'autenticazione dopo l'aggiornamento ADV190023 Microsoft
Correggere gli errori relativi ai certificati
Apri sezione | Comprimi tutto e torna all'inizio della pagina
Passaggi per Microsoft WindowsAggiorna il file vmoption
- Chiudi Configuration Manager.
- Nella directory di installazione di GCDS, apri i file sync-cmd.vmoptions e config-manager.vmoptions.
In genere la directory di installazione è C:\Program Files\Google Cloud Directory Sync.
- Modifica i file aggiungendo le seguenti righe:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Riavvia Configuration Manager e vai alla pagina Configurazione LDAP.
- Per il tipo di connessione, specifica LDAP+SSL.
- Per Porta, scegli un'opzione:
- Se in precedenza hai utilizzato 389, specifica 636
- Se in precedenza hai utilizzato 3268, specifica 3269.
- Fai clic su Test connection (Prova connessione).
- Se visualizzi:
- Un errore di certificato: sul computer su cui è in esecuzione GCDS, assicurati che il certificato sia considerato attendibile da Windows. Quindi, vai al Passaggio 2: importa il certificato del server (più avanti in questa pagina).
- Un errore relativo alla verifica della revoca dei certificati: segui i passaggi descritti in In che modo GCDS verifica gli elenchi revoche certificati.
- Altri errori (ad esempio errori di rete): vedi Risolvere i problemi comuni di GCDS.
Importa il certificato del server
Puoi utilizzare questi passaggi anche per importare i certificati per i server LDAP o i proxy HTTP che utilizzano certificati autofirmati.
- Accedi al domain controller e apri un prompt dei comandi.
- Per esportare il certificato del domain controller, inserisci il seguente comando:
certutil -store My DomainController dccert.cer
- Copia il file dccert.cer sul server su cui è installato GCDS.
- Apri un prompt dei comandi come amministratore.
- Per aprire la cartella di installazione JRE (Java Runtime Environment) di GCDS, inserisci il seguente comando:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Se utilizzi una versione a 32 bit di GCDS installata su un sistema Windows a 64 bit, utilizza cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- Per importare il certificato del domain controller, inserisci il seguente comando:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Se devi importare più certificati, ripeti questi passaggi utilizzando un alias diverso al posto di mydc.
- Inserisci Yes (Sì) per rendere attendibile il certificato.
- Chiudi Configuration Manager.
- Nella directory di installazione di GCDS apri i file sync-cmd.vmoptions e config-manager.vmoptions utilizzando un editor di testo.
- In ogni file, rimuovi:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTQuando rimuovi le righe, GCDS utilizza l'archivio certificati in lib/security/cacerts anziché l'archivio di sistema di Windows.
- Apri Configuration Manager, vai alla pagina LDAP Configuration (Configurazione di LDAP) e fai clic su Test Connections (Prova connessioni).
- Se continui a visualizzare errori relativi ai certificati, potrebbe essere necessario importare il certificato dell'autorità di certificazione (CA) dell'organizzazione anziché il certificato del domain controller. Per farlo, ripeti questi passaggi, ma questa volta esporta e importa il certificato CA.
Puoi utilizzare questi passaggi anche per importare i certificati per i server LDAP o i proxy HTTP che utilizzano certificati autofirmati.
- Accedi al domain controller e apri un prompt dei comandi.
- Per individuare il certificato di dominio, inserisci il seguente comando:
certutil -store My DomainController dccert.cer
- Copia il file dccert.cer sul server su cui è installato GCDS.
- Per aprire la cartella di installazione JRE (Java Runtime Environment) di GCDS, apri un prompt dei comandi e inserisci il seguente comando:
cd ~/GoogleCloudDirSync/jre
- Per importare il certificato del domain controller, inserisci il seguente comando:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Se devi importare più certificati, ripeti questi passaggi utilizzando un alias diverso al posto di mydc.
- Inserisci Yes (Sì) per rendere attendibile il certificato.
- Chiudi Configuration Manager.
- Nella directory di installazione di GCDS, apri i file sync-cmd.vmoptions e config-manager.vmoptions utilizzando un editor di testo.
In genere la directory di installazione è ~/GoogleCloudDirSync.
- In ogni file, rimuovi:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTQuando rimuovi le righe, GCDS utilizza l'archivio certificati in lib/security/cacerts anziché l'archivio di sistema di Windows.
- Apri Configuration Manager, vai alla pagina LDAP Configuration (Configurazione di LDAP) e fai clic su Test Connections (Prova connessioni).
- Se continui a visualizzare errori relativi ai certificati, potrebbe essere necessario importare il certificato dell'autorità di certificazione (CA) dell'organizzazione anziché il certificato del domain controller. Per farlo, ripeti questi passaggi, ma questa volta esporta e importa il certificato CA.
In che modo GCDS verifica gli elenchi revoche certificati
GCDS deve convalidare i certificati SSL (Secure Sockets Layer) quando si connette alle API di Google (su HTTPS) e a LDAP su SSL. Per farlo, GCDS recupera l'elenco revoche certificati (Certificate Revocation List, CRL) dalle autorità di certificazione tramite HTTP. A volte queste convalide hanno esito negativo, di solito a causa di un proxy o un firewall che blocca la richiesta HTTP.
Accertati che il server GCDS possa accedere ai seguenti URL tramite HTTP (porta 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Per informazioni dettagliate sugli elenchi CRL correnti, vai a Controllo CRL. Se utilizzi i tuoi certificati per LDAP su SSL, potrebbero essere necessari altri URL.
Se non consenti l'accesso agli elenchi CRL, puoi disattivare i controlli CRL:
- Nella directory di installazione di GCDS, apri i file sync-cmd.vmoptions e config-manager.vmoptions utilizzando un editor di testo.
Generalmente, la directory di installazione è C:\Programmi\Google Cloud Directory Sync (Windows) o ~/GoogleCloudDirSync (Linux).
- Aggiungi queste righe ai file:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
La sincronizzazione è rallentata dopo il passaggio a LDAP+SSL
Se dopo aver eseguito il passaggio a LDAP+SSL noti un rallentamento del processo di sincronizzazione:
- Chiudi Configuration Manager.
- Nella directory di installazione di GCDS, apri i file sync-cmd.vmoptions e config-manager.vmoptions utilizzando un editor di testo.
Generalmente, la directory di installazione è C:\Programmi\Google Cloud Directory Sync (Windows) o ~/GoogleCloudDirSync (Linux).
- Modifica i file aggiungendo le seguenti righe:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Salva i file e riprova a eseguire la sincronizzazione.
Garantire l'autenticazione dopo l'aggiornamento ADV190023 Microsoft
Se utilizzi Microsoft Active Directory con il binding di canale e la firma LDAP abilitati, devi seguire alcuni passaggi aggiuntivi per assicurarti che GCDS esegua l'autenticazione utilizzando LDAP su SSL. In caso contrario, GCDS non si connetterà ad Active Directory e le sincronizzazioni non andranno a buon fine. Devi seguire questi passaggi anche se in precedenza hai eseguito una sincronizzazione utilizzando l'autenticazione LDAP standard. Per maggiori dettagli sull'avviso ADV190023 Microsoft, consulta la documentazione Microsoft.
Se usi già LDAP su SSL con esito positivo, non devi seguire alcun passaggio.
Apri sezione | Comprimi tutto e torna all'inizio della pagina
Passaggio 1: attiva TLS in Active DirectorySpesso le sigle TLS e SSL sono usate in modo intercambiabile.
Per attivare TLS in Active Directory, consulta questi articoli Microsoft:
L'autorità di certificazione (CA) che ha firmato il certificato del controller di dominio deve essere considerata attendibile da GCDS. La maggior parte delle autorità di certificazione su internet più note, come Verisign, Comodo e Let's Encrypt, sono considerate attendibili. Se utilizzi queste autorità di certificazione, puoi saltare questo passaggio.
Se la tua autorità di certificazione non è attendibile o se utilizzi la tua CA radice, segui i passaggi indicati nella sezione Risolvere gli errori relativi ai certificati di questo articolo.- Apri Configuration Manager e vai alla pagina Configurazione di LDAP.
- Per l'impostazione Connection type (Tipo di connessione), specifica LDAP + SSL.
- Per l'impostazione Port (Porta), specifica 636 (se in precedenza hai utilizzato la porta 389) o 3269 (se in precedenza hai utilizzato la porta 3268).
- Fai clic su Test connection (Prova connessione).
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.