Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Résoudre les problèmes liés aux certificats

Les erreurs de certificat suivantes peuvent apparaître dans votre fichier journal Google Cloud Directory Sync (GCDS) :

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Suivez les étapes ci-dessous pour corriger ces erreurs. 

Sur cette page

Résoudre les problèmes liés aux erreurs de certificat

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Procédure pour Microsoft Windows

Mettre à jour le fichier vmoption 

  1. Fermez le gestionnaire de configuration.
  2. Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions.

    Le répertoire d'installation est généralement C:\Program Files\Google Cloud Directory Sync.

  3. Modifiez les fichiers en ajoutant les lignes suivantes :

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Relancez le gestionnaire de configuration et accédez à la page LDAP Configuration (Configuration LDAP).
  5. Pour Connection type (Type de connexion), indiquez LDAP+SSL.
  6. Dans le champ Port, choisissez une option :
    • Si vous utilisiez le port 389, spécifiez 636.
    • Si vous utilisiez le port 3268, spécifiez 3269.
  7. Cliquez sur Test connection (Tester la connexion).
  8. Si vous obtenez les erreurs suivantes :

Importer le certificat de serveur

Vous pouvez également suivre cette procédure afin d'importer des certificats pour des serveurs LDAP ou des serveurs proxy HTTP utilisant des certificats autosignés.

  1. Connectez-vous au contrôleur de domaine et ouvrez une invite de commande.
  2. Pour exporter le certificat du contrôleur de domaine, saisissez la commande suivante :

    certutil -store My DomainController dccert.cer

  3. Copiez le fichier dccert.cer sur le serveur sur lequel GCDS est installé.
  4. Ouvrez une invite de commande en tant qu'administrateur.
  5. Pour ouvrir le dossier d'installation de l'environnement d'exécution Java (JRE) de GCDS, saisissez la commande suivante :

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Si vous exécutez une version 32 bits de GCDS installée sur un système Windows 64 bits, utilisez cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".

  6. Pour importer le certificat du contrôleur de domaine, saisissez la commande suivante :

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Si vous devez importer plusieurs certificats, répétez ces étapes en utilisant un autre alias à la place de mydc.

  7. Saisissez Yes (Oui) pour approuver le certificat.
  8. Fermez le gestionnaire de configuration.
  9. Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.
  10. Dans chaque fichier, supprimez les éléments suivants :

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Lorsque vous supprimez les lignes, GCDS utilise le magasin de certificats situé dans lib/security/cacerts plutôt que celui de Windows.

  11. Ouvrez le gestionnaire de configuration, accédez à la page LDAP Configuration (Configuration LDAP), puis cliquez sur Test Connections (Tester les connexions).
  12. Si des erreurs de certificat sont encore signalées, vous devrez peut-être importer le certificat de l'autorité de certification (CA) de votre organisation au lieu du certificat du contrôleur de domaine. Pour ce faire, répétez cette procédure, mais cette fois-ci en exportant puis en important le certificat CA.
Procédure pour Linux

Vous pouvez également suivre cette procédure afin d'importer des certificats pour des serveurs LDAP ou des serveurs proxy HTTP utilisant des certificats autosignés.

  1. Connectez-vous au contrôleur de domaine et ouvrez une invite de commande.
  2. Pour localiser le certificat du domaine, saisissez la commande suivante :

    certutil -store My DomainController dccert.cer

  3. Copiez le fichier dccert.cer sur le serveur sur lequel GCDS est installé.
  4. Pour ouvrir le dossier d'installation de l'environnement d'exécution Java (JRE) de GCDS, ouvrez une invite de commande et saisissez la commande suivante :

    cd ~/GoogleCloudDirSync/jre

  5. Pour importer le certificat du contrôleur de domaine, saisissez la commande suivante :

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Si vous devez importer plusieurs certificats, répétez ces étapes en utilisant un autre alias à la place de mydc.

  6. Saisissez Yes (Oui) pour approuver le certificat.
  7. Fermez le gestionnaire de configuration.
  8. Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.

    Le répertoire d'installation est généralement ~/GoogleCloudDirSync.

  9. Dans chaque fichier, supprimez les éléments suivants :

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Lorsque vous supprimez les lignes, GCDS utilise le magasin de certificats situé dans lib/security/cacerts plutôt que celui de Windows.

  10. Ouvrez le gestionnaire de configuration, accédez à la page LDAP Configuration (Configuration LDAP), puis cliquez sur Test Connections (Tester les connexions).
  11. Si des erreurs de certificat sont encore signalées, vous devrez peut-être importer le certificat de l'autorité de certification (CA) de votre organisation au lieu du certificat du contrôleur de domaine. Pour ce faire, répétez cette procédure, mais cette fois-ci en exportant puis en important le certificat CA.

Comment GCDS vérifie-t-il les listes de révocation de certificats ?

GCDS doit vérifier les certificats SSL (Secure Sockets Layer) lorsqu'il se connecte aux API Google (via HTTPS) et à LDAP sur SSL. Pour ce faire, GCDS récupère des listes de révocation de certificats (LRC) auprès des autorités de certification via HTTP. Il peut arriver que ces vérifications n'aboutissent pas. La plupart du temps, cela est dû au blocage de la requête HTTP par un proxy ou un pare-feu.

Assurez-vous que le serveur GCDS peut accéder aux URL suivantes via HTTP (port 80) :

  • http://crl.pki.goog
  • http://crls.pki.goog

Pour en savoir plus sur les LRC actuelles, consultez Vérification LRC. Des URL supplémentaires peuvent être nécessaires si vous utilisez vos propres certificats pour LDAP sur SSL.

Si vous n'arrivez pas à autoriser l'accès à la liste de révocation de certificats :

  1. Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.

    L'emplacement d'installation est généralement C:\Program Files\Google Cloud Directory Sync (Windows) ou ~/GoogleCloudDirSync (Linux).

  2. Ajoutez les lignes suivantes aux fichiers :

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

Synchronisation ralentie après le passage au LDAP+SSL

Si vous êtes passé au type de connexion LDAP+SSL et que le processus de synchronisation est ralenti : 

  1. Fermez le gestionnaire de configuration.
  2. Dans le répertoire d'installation de GCDS, ouvrez les fichiers sync-cmd.vmoptions et config-manager.vmoptions à l'aide d'un éditeur de texte.

    L'emplacement d'installation est généralement C:\Program Files\Google Cloud Directory Sync (Windows) or ~/GoogleCloudDirSync (Linux).

  3. Modifiez les fichiers en ajoutant les lignes suivantes :

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Enregistrez les fichiers et relancez la synchronisation.

Vérifier l'authentification après la mise à jour Microsoft ADV190023

Si vous utilisez Microsoft Active Directory avec la liaison de canaux et la signature LDAP activées, vous devez prendre des mesures supplémentaires pour vous assurer que GCDS s'authentifie à l'aide du protocole LDAP sur SSL. Sinon, GCDS ne parviendra pas à se connecter à Active Directory et vos synchronisations échoueront. Vous devez suivre cette procédure, même si vous avez déjà effectué une synchronisation à l'aide de l'authentification LDAP standard. Pour en savoir plus sur l'avis Microsoft ADV190023, consultez la documentation Microsoft.

Si vous utilisez déjà le protocole LDAP sur SSL, aucune action n'est requise de votre part.

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Étape 1 : Activez le protocole TLS dans Active Directory

Les termes TLS et SSL sont souvent utilisés de façon interchangeable. 

Pour activer le protocole TLS dans Active Directory, consultez les articles Microsoft suivants :

Étape 2 : Vérifiez que le certificat est approuvé

L'autorité de certification (CA) qui a signé le certificat de votre contrôleur de domaine doit être approuvée par GCDS. La plupart des autorités de certification Internet reconnues telles que Verisign, Comodo et Let's Encrypt sont approuvées. Si vous avez recours à ces autorités de certification, vous pouvez ignorer cette étape.

Si votre autorité de certification n'est pas approuvée ou si vous utilisez votre propre autorité de certification racine, suivez la procédure Résoudre les problèmes liés aux erreurs de certificat.
Étape 3 : Paramétrez le gestionnaire de configuration
  1. Ouvrez le gestionnaire de configuration et accédez à la page LDAP Configuration (Configuration LDAP).
  2. Pour le paramètre Connection type (Type de connexion), indiquez LDAP+SSL.
  3. Pour le paramètre "Port", indiquez 636 (si vous utilisiez le port 389) ou 3269 (si vous utilisiez le port 3268).
  4. Cliquez sur Test connection (Tester la connexion).


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
16737866800447894487
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false