Memecahkan masalah terkait sertifikat

Anda mungkin melihat error terkait sertifikat dalam file log Google Cloud Directory Sync (GCDS) seperti di bawah ini:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Ikuti langkah-langkah di bawah untuk memperbaiki error ini. 

Di halaman ini

Memperbaiki error terkait sertifikat

Buka bagian  |  Ciutkan semua & ke bagian atas

Langkah-langkah untuk Microsoft Windows

Mengupdate file vmoption 

  1. Tutup Configuration Manager.
  2. Di direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions.

    Direktori penginstalan biasanya C:\Program Files\Google Cloud Directory Sync.

  3. Edit file untuk menambahkan baris berikut:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Mulai ulang Configuration Manager dan buka halaman LDAP Configuration.
  5. Untuk Connection type, pilih LDAP+SSL.
  6. Untuk Port, pilih salah satu opsi:
    • Jika sebelumnya Anda menggunakan 389, tentukan 636
    • Jika sebelumnya Anda menggunakan 3268, tentukan 3269.
  7. Klik Test connection.
  8. Jika muncul:
    • Error sertifikat–Di komputer yang menjalankan GCDS, pastikan sertifikatnya dipercaya oleh Windows. Lalu, lanjutkan ke Langkah 2: Impor sertifikat server (di bagian bawah pada halaman ini).
    • Error pemeriksaan pencabutan sertifikat–Ikuti langkah-langkah di Cara GCDS memeriksa daftar pencabutan sertifikat.
    • Error lainnya (misalnya, error jaringan)–Buka Memecahkan masalah umum GCDS.

Mengimpor sertifikat server

Anda juga dapat menggunakan langkah ini untuk mengimpor sertifikat bagi server LDAP atau proxy HTTP yang menggunakan sertifikat yang ditandatangani sendiri.

  1. Login ke pengontrol domain dan buka command prompt.
  2. Untuk mengekspor sertifikat pengontrol domain, masukkan perintah berikut:

    certutil -store My DomainController dccert.cer

  3. Salin file dccert.cer ke server tempat GCDS diinstal.
  4. Sebagai administrator, buka command prompt.
  5. Untuk membuka folder penginstalan Java Runtime Environment (JRE) GCDS, masukkan perintah berikut:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Jika Anda menjalankan GCDS versi 32-bit yang diinstal pada sistem Windows 64-bit, gunakan cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. Untuk mengimpor sertifikat pengontrol domain, masukkan perintah berikut:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Jika Anda perlu mengimpor lebih dari satu sertifikat, ulangi langkah-langkah ini menggunakan alias lain sebagai pengganti mydc.

  7. Masukkan Ya untuk memercayai sertifikat.
  8. Tutup Configuration Manager.
  9. Pada direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.
  10. Di setiap file, hapus:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Jika Anda menghapus baris tersebut, GCDS akan menggunakan penyimpanan sertifikat di lib/security/cacerts, bukan penyimpanan sistem Windows.

  11. Buka Configuration Manager, buka halaman LDAP Configuration, lalu klik Test Connections.
  12. Jika masih melihat error terkait sertifikat, Anda mungkin perlu mengimpor sertifikat Certificate Authority (CA) organisasi Anda, bukan sertifikat pengontrol domain. Untuk melakukannya, ulangi langkah-langkah tersebut, tetapi ekspor dan impor sertifikat CA sebagai gantinya.
Langkah-langkah untuk Linux

Anda juga dapat menggunakan langkah ini untuk mengimpor sertifikat bagi server LDAP atau proxy HTTP yang menggunakan sertifikat yang ditandatangani sendiri.

  1. Login ke pengontrol domain dan buka command prompt.
  2. Untuk menemukan sertifikat domain, masukkan perintah berikut:

    certutil -store My DomainController dccert.cer

  3. Salin file dccert.cer ke server tempat GCDS diinstal.
  4. Untuk membuka folder penginstalan Java Runtime Environment (JRE) GCDS, buka command prompt, lalu masukkan perintah berikut:

    cd ~/GoogleCloudDirSync/jre

  5. Untuk mengimpor sertifikat pengontrol domain, masukkan perintah berikut:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Jika Anda perlu mengimpor lebih dari satu sertifikat, ulangi langkah-langkah ini menggunakan alias lain sebagai pengganti mydc.

  6. Masukkan Ya untuk memercayai sertifikat.
  7. Tutup Configuration Manager.
  8. Pada direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.

    Direktori penginstalan biasanya ~/GoogleCloudDirSync.

  9. Di setiap file, hapus:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Jika Anda menghapus baris tersebut, GCDS akan menggunakan penyimpanan sertifikat di lib/security/cacerts, bukan penyimpanan sistem Windows.

  10. Buka Configuration Manager, buka halaman LDAP Configuration, lalu klik Test Connections.
  11. Jika masih melihat error terkait sertifikat, Anda mungkin perlu mengimpor sertifikat Certificate Authority (CA) organisasi Anda, bukan sertifikat pengontrol domain. Untuk melakukannya, ulangi langkah-langkah tersebut, tetapi ekspor dan impor sertifikat CA sebagai gantinya.

Cara GCDS memeriksa daftar pencabutan sertifikat

GCDS harus memvalidasi sertifikat Secure Socket Layer (SSL) saat terhubung ke Google API (melalui HTTPS) dan ke LDAP melalui SSL. GCDS melakukannya dengan mengambil daftar pencabutan sertifikat (CRL) dari Certificate Authority melalui HTTP. Terkadang, validasi ini gagal, biasanya karena proxy atau firewall yang memblokir permintaan HTTP.

Pastikan bahwa server GCDS dapat mengakses URL berikut melalui HTTP (port 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Untuk mengetahui detail CRL saat ini, buka Pemeriksaan CRL. URL tambahan mungkin diperlukan jika Anda menggunakan sertifikat milik sendiri untuk LDAP melalui SSL.

Jika tidak dapat mengizinkan akses CRL, Anda dapat menonaktifkan pemeriksaan CRL.

  1. Pada direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.

    Direktori penginstalan biasanya C:\Program Files\Google Cloud Directory Sync (Windows) atau ~/GoogleCloudDirSync (Linux).

  2. Tambahkan baris berikut ke file:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

Sinkronisasi melambat setelah beralih ke LDAP+SSL

Jika Anda telah beralih ke LDAP+SSL dan proses sinkronisasi menjadi lambat: 

  1. Tutup Configuration Manager.
  2. Di direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.

    Direktori penginstalan biasanya C:\Program Files\Google Cloud Directory Sync (Windows) atau ~/GoogleCloudDirSync (Linux).

  3. Edit file untuk menambahkan baris berikut:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Simpan file dan coba sinkronisasi lagi.

Memastikan autentikasi setelah update Microsoft ADV190023

Jika menggunakan Microsoft Active Directory dengan binding saluran dan penandatanganan LDAP yang diaktifkan, Anda harus mengambil langkah-langkah tambahan untuk memastikan bahwa GCDS diautentikasi menggunakan LDAP melalui SSL. Jika tidak, GCDS tidak akan terhubung ke Active Directory dan sinkronisasi Anda akan gagal. Anda harus melakukan langkah-langkah ini meskipun sebelumnya telah menjalankan sinkronisasi menggunakan autentikasi LDAP Standar. Untuk mengetahui detail tentang Microsoft ADV190023, lihat dokumentasi Microsoft.

Jika telah berhasil menggunakan LDAP melalui SSL, Anda tidak perlu melakukan langkah apa pun.

Buka bagian  |  Ciutkan semua & ke bagian atas

Langkah 1: Aktifkan TLS di Active Directory

Istilah TLS dan SSL sering digunakan secara bergantian. 

Untuk mengaktifkan TLS di Active Directory, baca artikel Microsoft berikut:

Langkah 2: Pastikan sertifikat dipercaya

Certificate Authority (CA) yang menandatangani sertifikat pengontrol domain Anda harus dipercaya oleh GCDS. CA internet yang paling terkenal, seperti Verisign, Comodo, dan Let's Encrypt, dipercaya oleh GCDS. Jika menggunakan CA tersebut, Anda dapat melewati langkah ini.

Jika CA tidak tepercaya atau jika Anda menggunakan root CA Anda sendiri, ikuti langkah-langkah di Memperbaiki error terkait sertifikat.
Langkah 3: Siapkan Configuration Manager
  1. Buka Configuration Manager dan buka halaman LDAP Configuration.
  2. Untuk setelan Connection type, tentukan LDAP+SSL.
  3. Untuk setelan Port, tentukan 636 (jika sebelumnya Anda menggunakan 389) atau 3269 (jika sebelumnya Anda menggunakan 3268).
  4. Klik Test connection.


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
3343133554041171266
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false