আপনার গুগল ক্লাউড ডিরেক্টরি সিঙ্ক (GCDS) লগ ফাইলে আপনি নিম্নলিখিত সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি দেখতে পারেন:
- sun.security.provider.certpath.SunCertPathBuilderException: অনুরোধকৃত লক্ষ্যের জন্য বৈধ সার্টিফিকেশন পাথ খুঁজে পাওয়া যায়নি
- ldap_simple_bind_s() ব্যর্থ হয়েছে: শক্তিশালী প্রমাণীকরণ আবশ্যক
এই ত্রুটিগুলো সমাধান করতে নিচের ধাপগুলো অনুসরণ করুন।
এই পৃষ্ঠায়
- সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি ঠিক করুন
- GCDS কীভাবে সার্টিফিকেট বাতিলকরণ তালিকা যাচাই করে
- LDAP+SSL-এ পরিবর্তন করার পর সিঙ্ক ধীর হয়ে গেছে।
- Microsoft ADV190023 আপডেটের পরে প্রমাণীকরণ নিশ্চিত করুন
সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি ঠিক করুন
মাইক্রোসফট উইন্ডোজের জন্য পদক্ষেপ
vmoption ফাইলটি আপডেট করুন
- কনফিগারেশন ম্যানেজার বন্ধ করুন।
- GCDS-এর ইনস্টলেশন ডিরেক্টরিতে, sync-cmd.vmoptions এবং config-manager.vmoptions ফাইল দুটি খুলুন।
ইনস্টলেশন ডিরেক্টরি সাধারণত C:\Program Files\Google Cloud Directory Sync হয়ে থাকে।
- নিম্নলিখিত লাইনগুলো যোগ করতে ফাইলগুলো সম্পাদনা করুন:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - কনফিগারেশন ম্যানেজার পুনরায় চালু করুন এবং LDAP কনফিগারেশন পৃষ্ঠায় যান।
- সংযোগের ধরণ হিসেবে LDAP+SSL উল্লেখ করুন।
- পোর্টের জন্য একটি বিকল্প বেছে নিন:
- আপনি যদি আগে ৩৮৯ ব্যবহার করে থাকেন, তাহলে ৬৩৬ উল্লেখ করুন।
- আপনি যদি আগে 3268 ব্যবহার করে থাকেন, তাহলে 3269 উল্লেখ করুন।
- সংযোগ পরীক্ষা করতে ক্লিক করুন।
- যদি আপনি পান:
- সার্টিফিকেট ত্রুটি–যে কম্পিউটারে GCDS চলছে, সেখানে নিশ্চিত করুন যে সার্টিফিকেটটি Windows দ্বারা বিশ্বস্ত। তারপর, ধাপ ২-এ যান: সার্ভার সার্টিফিকেট ইম্পোর্ট করুন (এই পৃষ্ঠার নীচে)।
- সার্টিফিকেট বাতিলকরণ যাচাইকরণে ত্রুটি– GCDS কীভাবে সার্টিফিকেট বাতিলকরণ তালিকা যাচাই করে, সেই অংশের ধাপগুলো অনুসরণ করুন।
- অন্যান্য ত্রুটি (যেমন, নেটওয়ার্ক ত্রুটি) –সাধারণ GCDS সমস্যা সমাধান (Troubleshoot common GCDS issues ) অংশে যান।
সার্ভার সার্টিফিকেট আমদানি করুন
আপনি এই ধাপগুলো ব্যবহার করে সেলফ-সাইন্ড সার্টিফিকেট ব্যবহারকারী LDAP সার্ভার বা HTTP প্রক্সির সার্টিফিকেটও ইম্পোর্ট করতে পারেন।
- ডোমেইন কন্ট্রোলারে সাইন ইন করুন এবং একটি কমান্ড প্রম্পট খুলুন।
- ডোমেইন কন্ট্রোলার সার্টিফিকেটটি এক্সপোর্ট করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:
certutil -store My DomainController dccert.cer
- যে সার্ভারে GCDS ইনস্টল করা আছে, সেখানে dccert.cer ফাইলটি কপি করুন।
- প্রশাসক হিসেবে, কমান্ড প্রম্পট খুলুন।
- GCDS জাভা রানটাইম এনভায়রনমেন্ট (JRE) ইনস্টলেশন ফোল্ডারটি খুলতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
যদি আপনি একটি 64-বিট উইন্ডোজ সিস্টেমে GCDS-এর 32-বিট সংস্করণ ইনস্টল করে চালান , তাহলে cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" ব্যবহার করুন।
- ডোমেইন কন্ট্রোলারের সার্টিফিকেট ইম্পোর্ট করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
যদি আপনাকে একাধিক সার্টিফিকেট ইম্পোর্ট করতে হয়, তাহলে mydc- এর পরিবর্তে একটি ভিন্ন অ্যালিয়াস ব্যবহার করে এই ধাপগুলো পুনরাবৃত্তি করুন।
- সার্টিফিকেটটি বিশ্বাস করতে 'হ্যাঁ' লিখুন।
- কনফিগারেশন ম্যানেজার বন্ধ করুন।
- GCDS-এর ইনস্টলেশন ডিরেক্টরিতে, একটি টেক্সট এডিটর ব্যবহার করে sync-cmd.vmoptions এবং config-manager.vmoptions ফাইল দুটি খুলুন।
- প্রতিটি ফাইল থেকে মুছে ফেলুন:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTআপনি লাইনগুলো মুছে দিলে, GCDS উইন্ডোজ সিস্টেম স্টোরের পরিবর্তে lib/security/cacerts- এ থাকা সার্টিফিকেট স্টোরটি ব্যবহার করে।
- কনফিগারেশন ম্যানেজার খুলুন, LDAP কনফিগারেশন পৃষ্ঠায় যান এবং টেস্ট কানেকশনস-এ ক্লিক করুন।
- আপনি যদি এখনও সার্টিফিকেট-সম্পর্কিত ত্রুটি দেখতে পান, তাহলে আপনার ডোমেইন কন্ট্রোলার সার্টিফিকেটের পরিবর্তে আপনার প্রতিষ্ঠানের সার্টিফিকেট অথরিটি (CA) সার্টিফিকেট ইম্পোর্ট করার প্রয়োজন হতে পারে। এটি করার জন্য, এই ধাপগুলো আবার অনুসরণ করুন, তবে এবার CA সার্টিফিকেটটি এক্সপোর্ট এবং ইম্পোর্ট করুন।
লিনাক্সের জন্য পদক্ষেপ
আপনি এই ধাপগুলো ব্যবহার করে সেলফ-সাইন্ড সার্টিফিকেট ব্যবহারকারী LDAP সার্ভার বা HTTP প্রক্সির সার্টিফিকেটও ইম্পোর্ট করতে পারেন।
- ডোমেইন কন্ট্রোলারে সাইন ইন করুন এবং একটি কমান্ড প্রম্পট খুলুন।
- ডোমেইন সার্টিফিকেটটি সনাক্ত করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:
certutil -store My DomainController dccert.cer
- যে সার্ভারে GCDS ইনস্টল করা আছে, সেখানে dccert.cer ফাইলটি কপি করুন।
- GCDS জাভা রানটাইম এনভায়রনমেন্ট (JRE) ইনস্টলেশন ফোল্ডারটি খোলার জন্য, কমান্ড প্রম্পট খুলুন এবং নিম্নলিখিত কমান্ডটি প্রবেশ করান:
cd ~/GoogleCloudDirSync/jre
- ডোমেইন কন্ট্রোলারের সার্টিফিকেট ইম্পোর্ট করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
যদি আপনাকে একাধিক সার্টিফিকেট ইম্পোর্ট করতে হয়, তাহলে mydc- এর পরিবর্তে একটি ভিন্ন অ্যালিয়াস ব্যবহার করে এই ধাপগুলো পুনরাবৃত্তি করুন।
- সার্টিফিকেটটি বিশ্বাস করতে 'হ্যাঁ' লিখুন।
- কনফিগারেশন ম্যানেজার বন্ধ করুন।
- GCDS-এর ইনস্টলেশন ডিরেক্টরিতে, একটি টেক্সট এডিটর ব্যবহার করে sync-cmd.vmoptions এবং config-manager.vmoptions ফাইল দুটি খুলুন।
ইনস্টলেশন ডিরেক্টরি সাধারণত ~/GoogleCloudDirSync হয়ে থাকে।
- প্রতিটি ফাইল থেকে মুছে ফেলুন:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTআপনি লাইনগুলো মুছে দিলে, GCDS উইন্ডোজ সিস্টেম স্টোরের পরিবর্তে lib/security/cacerts- এ থাকা সার্টিফিকেট স্টোরটি ব্যবহার করে।
- কনফিগারেশন ম্যানেজার খুলুন, LDAP কনফিগারেশন পৃষ্ঠায় যান এবং টেস্ট কানেকশনস-এ ক্লিক করুন।
- আপনি যদি এখনও সার্টিফিকেট-সম্পর্কিত ত্রুটি দেখতে পান, তাহলে আপনার ডোমেইন কন্ট্রোলার সার্টিফিকেটের পরিবর্তে আপনার প্রতিষ্ঠানের সার্টিফিকেট অথরিটি (CA) সার্টিফিকেট ইম্পোর্ট করার প্রয়োজন হতে পারে। এটি করার জন্য, এই ধাপগুলো আবার অনুসরণ করুন, তবে এবার CA সার্টিফিকেটটি এক্সপোর্ট এবং ইম্পোর্ট করুন।
GCDS কীভাবে সার্টিফিকেট বাতিলকরণ তালিকা যাচাই করে
গুগল এপিআই (HTTPS-এর মাধ্যমে) এবং SSL-এর মাধ্যমে LDAP-এর সাথে সংযোগ করার সময় GCDS-কে সিকিওর সকেটস লেয়ার (SSL) সার্টিফিকেট যাচাই করতে হয়। GCDS এই কাজটি করে থাকে HTTP-এর মাধ্যমে সার্টিফিকেট অথরিটিগুলো থেকে সার্টিফিকেট রিভোকেশন লিস্ট (CRL) সংগ্রহ করার মাধ্যমে। কখনও কখনও, এই যাচাইকরণ ব্যর্থ হয়, যার প্রধান কারণ হলো কোনো প্রক্সি বা ফায়ারওয়াল HTTP অনুরোধটিকে ব্লক করে দেয়।
নিশ্চিত করুন যে GCDS সার্ভারটি HTTP (পোর্ট ৮০)-এর মাধ্যমে নিম্নলিখিত URL-গুলিতে অ্যাক্সেস করতে পারে:
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
বর্তমান CRL-গুলির বিশদ বিবরণের জন্য, CRL চেক- এ যান। আপনি যদি SSL-এর মাধ্যমে LDAP-এর জন্য আপনার নিজস্ব সার্টিফিকেট ব্যবহার করেন, তাহলে অতিরিক্ত URL-এর প্রয়োজন হতে পারে।
যদি আপনি CRL অ্যাক্সেসের অনুমতি দিতে না পারেন, তাহলে আপনি CRL চেক বন্ধ করে দিতে পারেন:
GCDS-এর ইনস্টলেশন ডিরেক্টরিতে, একটি টেক্সট এডিটর ব্যবহার করে sync-cmd.vmoptions এবং config-manager.vmoptions ফাইল দুটি খুলুন।
ইনস্টলেশন ডিরেক্টরি সাধারণত C:\Program Files\Google Cloud Directory Sync (Windows) অথবা ~/GoogleCloudDirSync (Linux) হয়ে থাকে।
ফাইলগুলিতে এই লাইনগুলি যোগ করুন:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
LDAP+SSL-এ পরিবর্তন করার পর সিঙ্ক ধীর হয়ে গেছে।
আপনি যদি LDAP+SSL-এ পরিবর্তন করে থাকেন এবং আপনার সিঙ্ক প্রক্রিয়া ধীর হয়ে গিয়ে থাকে:
- কনফিগারেশন ম্যানেজার বন্ধ করুন।
GCDS-এর ইনস্টলেশন ডিরেক্টরিতে একটি টেক্সট এডিটর ব্যবহার করে sync-cmd.vmoptions এবং config-manager.vmoptions ফাইল দুটি খুলুন।
ইনস্টলেশন ডিরেক্টরি সাধারণত C:\Program Files\Google Cloud Directory Sync (Windows) অথবা ~/GoogleCloudDirSync (Linux) হয়ে থাকে।
নিম্নলিখিত লাইনগুলো যোগ করতে ফাইলগুলো সম্পাদনা করুন:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simpleফাইলগুলো সংরক্ষণ করুন এবং সিঙ্ক করার চেষ্টা আবার করুন।
Microsoft ADV190023 আপডেটের পরে প্রমাণীকরণ নিশ্চিত করুন
আপনি যদি চ্যানেল বাইন্ডিং এবং LDAP সাইনিং চালু রেখে Microsoft Active Directory ব্যবহার করেন, তাহলে GCDS যেন SSL-এর মাধ্যমে LDAP ব্যবহার করে প্রমাণীকরণ করে, তা নিশ্চিত করার জন্য আপনাকে অতিরিক্ত পদক্ষেপ নিতে হবে। অন্যথায়, GCDS Active Directory-র সাথে সংযোগ করতে পারবে না এবং আপনার সিঙ্ক্রোনাইজেশন ব্যর্থ হবে। আপনি যদি আগে Standard LDAP প্রমাণীকরণ ব্যবহার করে সিঙ্ক চালিয়ে থাকেন, তাহলেও আপনাকে এই পদক্ষেপগুলো নিতে হবে। Microsoft-এর অ্যাডভাইজরি ADV190023 সম্পর্কে বিস্তারিত জানতে, আপনার Microsoft ডকুমেন্টেশন দেখুন।
আপনি যদি ইতিমধ্যেই সফলভাবে SSL-এর মাধ্যমে LDAP ব্যবহার করে থাকেন, তাহলে আপনাকে কোনো পদক্ষেপ নিতে হবে না।
ধাপ ১: অ্যাক্টিভ ডিরেক্টরিতে TLS চালু করুন
TLS এবং SSL শব্দ দুটি প্রায়শই একই অর্থে ব্যবহৃত হয়।
Active Directory-তে TLS চালু করতে, Microsoft-এর এই আর্টিকেলগুলো দেখুন:
ধাপ ২: সার্টিফিকেটটি বিশ্বস্ত কিনা তা নিশ্চিত করুন।
আপনার ডোমেইন কন্ট্রোলারের সার্টিফিকেট স্বাক্ষরকারী সার্টিফিকেট অথরিটি (CA)-কে অবশ্যই GCDS দ্বারা বিশ্বস্ত হতে হবে। বেশিরভাগ সুপরিচিত ইন্টারনেট CA, যেমন Verisign, Comodo, এবং Let's Encrypt, বিশ্বস্ত হিসেবে স্বীকৃত। আপনি যদি এই CA-গুলো ব্যবহার করেন, তবে এই ধাপটি বাদ দিতে পারেন।
যদি আপনার CA বিশ্বস্ত না হয় অথবা আপনি আপনার নিজস্ব রুট CA ব্যবহার করেন, তাহলে সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি সমাধান করুন- এর উপরের ধাপগুলি অনুসরণ করুন।
ধাপ ৩: কনফিগারেশন ম্যানেজার সেট আপ করুন
- কনফিগারেশন ম্যানেজার খুলুন এবং LDAP কনফিগারেশন পৃষ্ঠায় যান।
- কানেকশন টাইপ সেটিং-এর জন্য LDAP+SSL উল্লেখ করুন।
- পোর্ট সেটিং-এর জন্য, 636 উল্লেখ করুন (যদি আপনি পূর্বে 389 ব্যবহার করে থাকেন) অথবা 3269 উল্লেখ করুন (যদি আপনি পূর্বে 3268 ব্যবহার করে থাকেন)।
- সংযোগ পরীক্ষা করতে ক্লিক করুন।
গুগল, গুগল ওয়ার্কস্পেস এবং সংশ্লিষ্ট চিহ্ন ও লোগোসমূহ হলো গুগল এলএলসি (Google LLC)-এর ট্রেডমার্ক। অন্য সকল কোম্পানি ও পণ্যের নাম তাদের সংশ্লিষ্ট কোম্পানিগুলোর ট্রেডমার্ক।