Du kan se följande certifikatrelaterade fel i din Google Cloud Directory Sync (GCDS)-loggfil:
- sun.security.provider.certpath.SunCertPathBuilderException: det går inte att hitta giltig certifieringssökväg till begärt mål
- ldap_simple_bind_s() misslyckades: Stark autentisering krävs
Följ stegen nedan för att åtgärda dessa fel.
På den här sidan
- Åtgärda certifikatrelaterade fel
- Hur GCDS kontrollerar listor över återkallade certifikat
- Synkroniseringen är långsam efter att ha bytt till LDAP+SSL
- Säkerställ autentisering efter Microsoft ADV190023-uppdatering
Åtgärda certifikatrelaterade fel
Steg för Microsoft Windows
Uppdatera vmoption-filen
- Stäng Konfigurationshanteraren .
- I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions .
Installationskatalogen är vanligtvis C:\Program Files\Google Cloud Directory Sync .
- Redigera filerna för att lägga till följande rader:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=vanlig ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=ingen enkel - Starta om konfigurationshanteraren och gå till sidan LDAP-konfiguration .
- För Anslutningstyp anger du LDAP+SSL .
- För Port välj ett alternativ:
- Om du tidigare använde 389 , ange 636
- Om du tidigare använde 3268 , ange 3269 .
- Klicka på Testa anslutning .
- Om du får:
- Ett certifikatfel – Kontrollera att certifikatet är betrott av Windows på datorn där GCDS körs. Fortsätt sedan till steg 2: Importera servercertifikatet (nedan på den här sidan).
- Ett fel vid kontroll av återkallelse av certifikat – Följ stegen i Hur GCDS kontrollerar listor över återkallelse av certifikat .
- Andra fel (till exempel nätverksfel) – Gå till Felsök vanliga GCDS-problem .
Importera servercertifikatet
Du kan också använda dessa steg för att importera certifikat för LDAP-servrar eller HTTP-proxyservrar som använder självsignerade certifikat.
- Logga in på domänkontrollanten och öppna en kommandotolk.
- För att exportera domänkontrollantcertifikatet, ange följande kommando:
certutil -store Min domänkontroller dccert.cer
- Kopiera dccert.cer- filen till servern där GCDS är installerat.
- Som administratör, öppna en kommandotolk.
- För att öppna installationsmappen för GCDS Java Runtime Environment (JRE), ange följande kommando:
cd "c:\Programfiler\Google Cloud Directory Sync\jre"
Om du kör en 32-bitarsversion av GCDS som är installerad på ett 64-bitars Windows-system, använd cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- För att importera domänkontrollantens certifikat, ange följande kommando:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Om du behöver importera mer än ett certifikat, upprepa dessa steg med ett annat alias istället för mydc .
- Ange Ja för att lita på certifikatet.
- Stäng Konfigurationshanteraren .
- I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions med hjälp av en textredigerare.
- I varje fil, ta bort:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTNär du tar bort raderna använder GCDS certifikatarkivet i lib/security/cacerts istället för Windows systemarkivet.
- Öppna Konfigurationshanteraren , gå till sidan LDAP-konfiguration och klicka på Testa anslutningar .
- Om du fortfarande ser certifikatrelaterade fel kan du behöva importera din organisations certifikat från certifikatutfärdaren (CA) istället för ditt domänkontrollantcertifikat. För att göra detta, upprepa dessa steg men exportera och importera CA-certifikatet istället.
Steg för Linux
Du kan också använda dessa steg för att importera certifikat för LDAP-servrar eller HTTP-proxyservrar som använder självsignerade certifikat.
- Logga in på domänkontrollanten och öppna en kommandotolk.
- För att hitta domäncertifikatet, ange följande kommando:
certutil -store Min domänkontroller dccert.cer
- Kopiera dccert.cer- filen till servern där GCDS är installerat.
- För att öppna installationsmappen för GCDS Java Runtime Environment (JRE), öppna en kommandotolk och ange följande kommando:
cd ~/GoogleCloudDirSync/jre
- För att importera domänkontrollantens certifikat, ange följande kommando:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Om du behöver importera mer än ett certifikat, upprepa dessa steg med ett annat alias istället för mydc .
- Ange Ja för att lita på certifikatet.
- Stäng Konfigurationshanteraren .
- I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions med hjälp av en textredigerare.
Installationskatalogen är vanligtvis ~/GoogleCloudDirSync .
- I varje fil, ta bort:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTNär du tar bort raderna använder GCDS certifikatarkivet i lib/security/cacerts istället för Windows systemarkivet.
- Öppna Konfigurationshanteraren , gå till sidan LDAP-konfiguration och klicka på Testa anslutningar .
- Om du fortfarande ser certifikatrelaterade fel kan du behöva importera din organisations certifikat från certifikatutfärdaren (CA) istället för ditt domänkontrollantcertifikat. För att göra detta, upprepa dessa steg men exportera och importera CA-certifikatet istället.
Hur GCDS kontrollerar listor över återkallade certifikat
GCDS behöver validera Secure Sockets Layer (SSL)-certifikat vid anslutning till Google API:er (via HTTPS) och till LDAP via SSL. GCDS gör detta genom att hämta certifikatåterkallningslistor (CRL:er) från certifikatutfärdare via HTTP. Ibland misslyckas dessa valideringar, vanligtvis på grund av att en proxy eller brandvägg blockerar HTTP-begäran.
Se till att GCDS-servern kan komma åt följande webbadresser via HTTP (port 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
För mer information om aktuella CRL:er, gå till CRL-kontroll . Ytterligare URL:er kan behövas om du använder dina egna certifikat för LDAP över SSL.
Om du inte kan tillåta CRL-åtkomst kan du inaktivera CRL-kontroller:
I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions med en textredigerare.
Installationskatalogen är vanligtvis C:\Program Files\Google Cloud Directory Sync (Windows) eller ~/GoogleCloudDirSync (Linux).
Lägg till dessa rader i filerna:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=falskt
Synkroniseringen är långsam efter att ha bytt till LDAP+SSL
Om du har bytt till LDAP+SSL och din synkroniseringsprocess har gått långsammare:
- Stäng Konfigurationshanteraren.
I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions med en textredigerare.
Installationskatalogen är vanligtvis C:\Program Files\Google Cloud Directory Sync (Windows) eller ~/GoogleCloudDirSync (Linux).
Redigera filerna för att lägga till följande rader:
-Dcom.sun.jndi.ldap.connect.pool.protocol=vanlig ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=ingen enkelSpara filerna och försök synkronisera igen.
Säkerställ autentisering efter Microsoft ADV190023-uppdatering
Om du använder Microsoft Active Directory med kanalbindning och LDAP-signering aktiverade måste du vidta ytterligare åtgärder för att säkerställa att GCDS autentiserar med LDAP över SSL. Annars kommer GCDS inte att ansluta till Active Directory och dina synkroniseringar kommer att misslyckas. Du måste vidta dessa steg även om du tidigare körde en synkronisering med standard-LDAP-autentisering. Mer information om Microsoft-rekommendationen ADV190023 finns i Microsoft-dokumentationen.
Om du redan använder LDAP över SSL utan problem behöver du inte vidta några åtgärder.
Steg 1: Aktivera TLS i Active Directory
Termerna TLS och SSL används ofta omväxlande.
För att aktivera TLS i Active Directory, läs dessa Microsoft-artiklar:
Steg 2: Kontrollera att certifikatet är betrott
Certifikatutfärdaren (CA) som signerade din domänkontrollants certifikat måste vara betrodd av GCDS. De flesta välkända internet-CA:er, som Verisign, Comodo och Let's Encrypt, är betrodda. Om du använder dessa CA:er kan du hoppa över det här steget.
Om din certifikatutfärdare inte är betrodd eller om du använder din egen rot-CA följer du stegen ovan i Åtgärda certifikatrelaterade fel .
Steg 3: Konfigurera konfigurationshanteraren
- Öppna Konfigurationshanteraren och gå till sidan LDAP-konfiguration .
- För inställningen Anslutningstyp anger du LDAP+SSL .
- För Port-inställningen anger du 636 (om du tidigare använde 389) eller 3269 (om du tidigare använde 3268).
- Klicka på Testa anslutning .
Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.