Resolver problemas relacionados ao certificado

Você pode encontrar os seguintes erros relacionados a certificados no arquivo de registros do Google Cloud Directory Sync (GCDS):

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Siga as etapas abaixo para corrigir esses erros. 

Nesta página

Corrigir erros relacionados a certificados

Abrir seção  |  Recolher tudo e voltar ao início

Etapas para Microsoft Windows

Atualizar o arquivo vmoption 

  1. Feche o Gerenciador de configuração.
  2. No diretório de instalação do GCDS, abra os arquivos sync-cmd.vmoptions e config-manager.vmoptions.

    O diretório de instalação geralmente é C:\Program Files\Google Cloud Directory Sync.

  3. Edite os arquivos para adicionar as seguintes linhas:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Reinicie o Gerenciador de configuração e acesse a página Configuração LDAP.
  5. Em Tipo de conexão, especifique LDAP+SSL.
  6. Em Porta, escolha uma opção:
    • Se você já usou 389, especifique 636.
    • Se você já usou 3268, especifique 3269.
  7. Clique em Testar conexão.
  8. Confira o que fazer nas seguintes situações:

Importar o certificado do servidor

Você também pode usar estas etapas para importar certificados para servidores LDAP ou proxies HTTP que usam certificados autoassinados.

  1. Faça login no controlador do domínio e abra um prompt de comando.
  2. Para exportar o certificado do controlador de domínio, digite o seguinte comando:

    certutil -store My DomainController dccert.cer

  3. Copie o arquivo dccert.cer para o servidor onde o GCDS está instalado.
  4. Como administrador, abra um prompt de comando.
  5. Para abrir a pasta de instalação do Java Runtime Environment (JRE) do GCDS, digite o seguinte comando:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Se você estiver executando uma versão de 32 bits do GCDS instalada em um sistema Windows de 64 bits, use o cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. Para importar o certificado do controlador de domínio, digite o seguinte comando:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Se você precisar importar mais de um certificado, repita estas etapas usando um alias diferente em vez de mydc.

  7. Digite Yes para confiar no certificado.
  8. Feche o Gerenciador de configuração.
  9. No diretório de instalação do GCDS, use um editor de texto, abra os arquivos sync-cmd.vmoptions e config-manager.vmoptions.
  10. Em cada arquivo, remova as seguintes linhas:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Quando você remove as linhas, o GCDS usa o repositório de certificados em lib/security/cacerts, e não o repositório do sistema do Windows.

  11. Abra o Gerenciador de configuração, acesse a página Configuração LDAP e clique em Testar conexões.
  12. Caso os erros relacionados ao certificado persistam, talvez seja preciso importar o certificado da CA da sua organização em vez do certificado do controlador de domínio. Para fazer isso, repita estas etapas, mas exporte e importe o certificado da AC.
Etapas para Linux

Você também pode usar estas etapas para importar certificados para servidores LDAP ou proxies HTTP que usam certificados autoassinados.

  1. Faça login no controlador do domínio e abra um prompt de comando.
  2. Para localizar o certificado de domínio, digite o seguinte comando:

    certutil -store My DomainController dccert.cer

  3. Copie o arquivo dccert.cer para o servidor onde o GCDS está instalado.
  4. Para abrir a pasta de instalação do Java Runtime Environment (JRE) do GCDS, abra um prompt de comando e digite o seguinte comando:

    cd ~/GoogleCloudDirSync/jre

  5. Para importar o certificado do controlador de domínio, digite o seguinte comando:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Se você precisar importar mais de um certificado, repita estas etapas usando um alias diferente em vez de mydc.

  6. Digite Yes para confiar no certificado.
  7. Feche o Gerenciador de configuração.
  8. No diretório de instalação do GCDS, use um editor de texto, abra os arquivos sync-cmd.vmoptions e config-manager.vmoptions.

    O diretório de instalação geralmente é ~/GoogleCloudDirSync.

  9. Em cada arquivo, remova as seguintes linhas:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Quando você remove as linhas, o GCDS usa o repositório de certificados em lib/security/cacerts, e não o repositório do sistema do Windows.

  10. Abra o Gerenciador de configuração, acesse a página Configuração LDAP e clique em Testar conexões.
  11. Caso os erros relacionados ao certificado persistam, talvez seja preciso importar o certificado da CA da sua organização em vez do certificado do controlador de domínio. Para fazer isso, repita estas etapas, mas exporte e importe o certificado da AC.

Como o GCDS verifica listas de revogação de certificado

O GCDS precisa validar os certificados Secure Sockets Layer (SSL) ao estabelecer uma conexão com as APIs do Google (HTTPS) e o LDAP (SSL). Para fazer isso, o GCDS recupera as listas de revogação de certificado (CRLs) de autoridades de certificação via HTTP. Às vezes essas validações falham devido a um proxy ou firewall que bloqueia a solicitação HTTP.

Confirme se o servidor do GCDS pode acessar os seguintes URLs sobre HTTP (porta 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Para saber mais sobre as CRLs atuais, acesse Verificação de CRL. URLs adicionais podem ser necessários se você estiver usando seus próprios certificados para LDAP via SSL.

Se não for possível permitir o acesso à CRL, você pode desativar as verificações da CRL:

  1. No diretório de instalação do GCDS, abra os arquivos sync-cmd.vmoptions e config-manager.vmoptions usando um editor de texto.

    A instalação geralmente é feita em C:\Arquivos de Programas\Google Cloud Directory Sync (Windows) ou ~/GoogleCloudDirSync (Linux).

  2. Adicione estas linhas aos arquivos:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

A sincronização fica lenta após a migração para LDAP+SSL

Se você tiver alternado para LDAP+SSL e o processo de sincronização estiver lento:

  1. Feche o Gerenciador de configurações.
  2. No diretório de instalação do GCDS, abra os arquivos sync-cmd.vmoptions e config-manager.vmoptions usando um editor de texto.

    A instalação geralmente é feita em C:\Arquivos de Programas\Google Cloud Directory Sync (Windows) ou ~/GoogleCloudDirSync (Linux).

  3. Edite os arquivos para adicionar as seguintes linhas:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Salve os arquivos e tente sincronizar novamente.

Garantir a autenticação após a atualização ADV190023 da Microsoft

Se você estiver usando o Microsoft Active Directory com a vinculação de canal e a assinatura LDAP ativadas, precisará seguir outras etapas para garantir que o GCDS faça a autenticação usando LDAP via SSL. Caso contrário, o GCDS não se conecta ao Active Directory, e as sincronizações não são concluídas. Você precisa seguir essas etapas mesmo que tenha feito uma sincronização usando a autenticação LDAP padrão. Veja mais detalhes sobre a atualização ADV190023 na documentação da Microsoft.

Se você já usa o LDAP sobre SSL, não precisa fazer nada.

Abrir seção  |  Recolher tudo e voltar ao início

Etapa 1: ativar o TLS no Active Directory

Os termos "TLS" e "SSL" são usados como sinônimos. 

Para ativar o TLS no Active Directory, consulte estes artigos da Microsoft:

Etapa 2: verificar se o certificado é confiável

A autoridade de certificação (CA, na sigla em inglês) que assinou o certificado do seu controlador de domínio precisa ser considerada confiável pelo GCDS. A maioria das CAs conhecidas, como a Verisign, Comodo e Let's Encrypt, é confiável. Se você usa essas CAs, pule esta etapa.

Caso a autoridade de certificação não seja confiável ou você use sua própria CA raiz, siga as etapas em Corrigir erros relacionados a certificados.
Etapa 3: configurar o Gerenciador de configuração
  1. Abra o Gerenciador de configuração e acesse a página Configuração LDAP.
  2. Em Tipo de conexão, especifique LDAP+SSL.
  3. Em "Porta", especifique 636 (se você usava a 389) ou 3269 (se você usava a 3268).
  4. Clique em Testar conexão.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
4295411160640598968
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false