Les erreurs de certificat suivantes peuvent apparaître dans votre fichier journal Google Cloud Directory Sync (GCDS) :
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Suivez les étapes ci-dessous pour corriger ces erreurs.
Sur cette page
- Résoudre les problèmes liés aux erreurs de certificat
- Comment GCDS vérifie-t-il les listes de révocation de certificats ?
- Synchronisation ralentie après le passage au LDAP+SSL
- Vérifier l'authentification après la mise à jour Microsoft ADV190023
Résoudre les problèmes liés aux erreurs de certificat
Ouvrir la section | Tout réduire et revenir en haut de la page
Procédure pour Microsoft WindowsMettre à jour le fichier vmoption
- Fermez le gestionnaire de configuration.
- Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions.
Le répertoire d'installation est généralement C:\Program Files\Google Cloud Directory Sync.
- Modifiez les fichiers en ajoutant les lignes suivantes :
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Relancez le gestionnaire de configuration et accédez à la page LDAP Configuration (Configuration LDAP).
- Pour Connection type (Type de connexion), indiquez LDAP+SSL.
- Dans le champ Port, choisissez une option :
- Si vous utilisiez le port 389, spécifiez 636.
- Si vous utilisiez le port 3268, spécifiez 3269.
- Cliquez sur Test connection (Tester la connexion).
- Si vous obtenez les erreurs suivantes :
- Erreur de certificat : assurez-vous que le certificat figurant sur l'ordinateur qui exécute GCDS est approuvé par Windows. Passez ensuite à l'étape 2 pour importer le certificat de serveur (ci-dessous).
- Erreur de vérification de la révocation des certificats : suivez la procédure décrite dans Comment GCDS vérifie-t-il les listes de révocation de certificats ?.
- Autres erreurs (erreurs réseau, par exemple) : consultez Résoudre les problèmes courants concernant GCDS.
Importer le certificat de serveur
Vous pouvez également suivre cette procédure afin d'importer des certificats pour des serveurs LDAP ou des serveurs proxy HTTP utilisant des certificats autosignés.
- Connectez-vous au contrôleur de domaine et ouvrez une invite de commande.
- Pour exporter le certificat du contrôleur de domaine, saisissez la commande suivante :
certutil -store My DomainController dccert.cer
- Copiez le fichier dccert.cer sur le serveur sur lequel GCDS est installé.
- Ouvrez une invite de commande en tant qu'administrateur.
- Pour ouvrir le dossier d'installation de l'environnement d'exécution Java (JRE) de GCDS, saisissez la commande suivante :
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Si vous exécutez une version 32 bits de GCDS installée sur un système Windows 64 bits, utilisez cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".
- Pour importer le certificat du contrôleur de domaine, saisissez la commande suivante :
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Si vous devez importer plusieurs certificats, répétez ces étapes en utilisant un autre alias à la place de mydc.
- Saisissez Yes (Oui) pour approuver le certificat.
- Fermez le gestionnaire de configuration.
- Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.
- Dans chaque fichier, supprimez les éléments suivants :
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTLorsque vous supprimez les lignes, GCDS utilise le magasin de certificats situé dans lib/security/cacerts plutôt que celui de Windows.
- Ouvrez le gestionnaire de configuration, accédez à la page LDAP Configuration (Configuration LDAP), puis cliquez sur Test Connections (Tester les connexions).
- Si des erreurs de certificat sont encore signalées, vous devrez peut-être importer le certificat de l'autorité de certification (CA) de votre organisation au lieu du certificat du contrôleur de domaine. Pour ce faire, répétez cette procédure, mais cette fois-ci en exportant puis en important le certificat CA.
Vous pouvez également suivre cette procédure afin d'importer des certificats pour des serveurs LDAP ou des serveurs proxy HTTP utilisant des certificats autosignés.
- Connectez-vous au contrôleur de domaine et ouvrez une invite de commande.
- Pour localiser le certificat du domaine, saisissez la commande suivante :
certutil -store My DomainController dccert.cer
- Copiez le fichier dccert.cer sur le serveur sur lequel GCDS est installé.
- Pour ouvrir le dossier d'installation de l'environnement d'exécution Java (JRE) de GCDS, ouvrez une invite de commande et saisissez la commande suivante :
cd ~/GoogleCloudDirSync/jre
- Pour importer le certificat du contrôleur de domaine, saisissez la commande suivante :
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Si vous devez importer plusieurs certificats, répétez ces étapes en utilisant un autre alias à la place de mydc.
- Saisissez Yes (Oui) pour approuver le certificat.
- Fermez le gestionnaire de configuration.
- Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.
Le répertoire d'installation est généralement ~/GoogleCloudDirSync.
- Dans chaque fichier, supprimez les éléments suivants :
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTLorsque vous supprimez les lignes, GCDS utilise le magasin de certificats situé dans lib/security/cacerts plutôt que celui de Windows.
- Ouvrez le gestionnaire de configuration, accédez à la page LDAP Configuration (Configuration LDAP), puis cliquez sur Test Connections (Tester les connexions).
- Si des erreurs de certificat sont encore signalées, vous devrez peut-être importer le certificat de l'autorité de certification (CA) de votre organisation au lieu du certificat du contrôleur de domaine. Pour ce faire, répétez cette procédure, mais cette fois-ci en exportant puis en important le certificat CA.
Comment GCDS vérifie-t-il les listes de révocation de certificats ?
GCDS doit vérifier les certificats SSL (Secure Sockets Layer) lorsqu'il se connecte aux API Google (via HTTPS) et à LDAP sur SSL. Pour ce faire, GCDS récupère des listes de révocation de certificats (LRC) auprès des autorités de certification via HTTP. Il peut arriver que ces vérifications n'aboutissent pas. La plupart du temps, cela est dû au blocage de la requête HTTP par un proxy ou un pare-feu.
Assurez-vous que le serveur GCDS peut accéder aux URL suivantes via HTTP (port 80) :
- http://crl.pki.goog
- http://crls.pki.goog
Pour en savoir plus sur les LRC actuelles, consultez Vérification LRC. Des URL supplémentaires peuvent être nécessaires si vous utilisez vos propres certificats pour LDAP sur SSL.
Si vous n'arrivez pas à autoriser l'accès à la liste de révocation de certificats :
- Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.
L'emplacement d'installation est généralement C:\Program Files\Google Cloud Directory Sync (Windows) ou ~/GoogleCloudDirSync (Linux).
- Ajoutez les lignes suivantes aux fichiers :
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
Synchronisation ralentie après le passage au LDAP+SSL
Si vous êtes passé au type de connexion LDAP+SSL et que le processus de synchronisation est ralenti :
- Fermez le gestionnaire de configuration.
- Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.
L'emplacement d'installation est généralement C:\Program Files\Google Cloud Directory Sync (Windows) or ~/GoogleCloudDirSync (Linux).
- Modifiez les fichiers en ajoutant les lignes suivantes :
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Enregistrez les fichiers et relancez la synchronisation.
Vérifier l'authentification après la mise à jour Microsoft ADV190023
Si vous utilisez Microsoft Active Directory avec la liaison de canaux et la signature LDAP activées, vous devez prendre des mesures supplémentaires pour vous assurer que GCDS s'authentifie à l'aide du protocole LDAP sur SSL. Sinon, GCDS ne parviendra pas à se connecter à Active Directory et vos synchronisations échoueront. Vous devez suivre cette procédure, même si vous avez déjà effectué une synchronisation à l'aide de l'authentification LDAP standard. Pour en savoir plus sur l'avis Microsoft ADV190023, consultez la documentation Microsoft.
Si vous utilisez déjà le protocole LDAP sur SSL, aucune action n'est requise de votre part.
Ouvrir la section | Tout réduire et revenir en haut de la page
Étape 1 : Activez le protocole TLS dans Active DirectoryLes termes TLS et SSL sont souvent utilisés de façon interchangeable.
Pour activer le protocole TLS dans Active Directory, consultez les articles Microsoft suivants :
L'autorité de certification (CA) qui a signé le certificat de votre contrôleur de domaine doit être approuvée par GCDS. La plupart des autorités de certification Internet reconnues telles que Verisign, Comodo et Let's Encrypt sont approuvées. Si vous avez recours à ces autorités de certification, vous pouvez ignorer cette étape.
Si votre autorité de certification n'est pas approuvée ou si vous utilisez votre propre autorité de certification racine, suivez la procédure Résoudre les problèmes liés aux erreurs de certificat.- Ouvrez le gestionnaire de configuration et accédez à la page LDAP Configuration (Configuration LDAP).
- Pour le paramètre Connection type (Type de connexion), indiquez LDAP+SSL.
- Pour le paramètre "Port", indiquez 636 (si vous utilisiez le port 389) ou 3269 (si vous utilisiez le port 3268).
- Cliquez sur Test connection (Tester la connexion).
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.