Bạn có thể thấy các lỗi liên quan đến chứng chỉ sau đây trong tệp nhật ký Google Cloud Directory Sync (GCDS):
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Hãy làm theo các bước bên dưới để khắc phục những lỗi này.
Trên trang này
- Khắc phục các lỗi liên quan đến chứng chỉ
- Cách GCDS kiểm tra danh sách thu hồi chứng chỉ
- Quá trình đồng bộ hoá diễn ra chậm sau khi chuyển sang LDAP+SSL
- Đảm bảo xác thực sau khi cập nhật Microsoft ADV190023
Khắc phục các lỗi liên quan đến chứng chỉ
Các bước dành cho Microsoft Windows
Cập nhật tệp vmoption
- Đóng Trình quản lý cấu hình.
- Trong thư mục cài đặt GCDS, hãy mở tệp sync-cmd.vmoptions và config-manager.vmoptions.
Thư mục cài đặt thường là C:\Program Files\Google Cloud Directory Sync.
- Chỉnh sửa các tệp để thêm các dòng sau:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Khởi động lại Trình quản lý cấu hình rồi chuyển đến trang Cấu hình LDAP.
- Đối với Loại kết nối, hãy chỉ định LDAP+SSL.
- Đối với Cổng , hãy chọn một cách:
- Nếu trước đây bạn đã sử dụng 389, hãy chỉ định 636
- Nếu trước đây bạn đã sử dụng 3268, hãy chỉ định 3269.
- Nhấp vào Kiểm tra kết nối.
- Nếu bạn nhận được:
- Lỗi chứng chỉ – Trên máy tính đang chạy GCDS, hãy đảm bảo rằng Windows tin cậy chứng chỉ đó. Sau đó, hãy chuyển sang Bước 2: Nhập chứng chỉ máy chủ (bên dưới trên trang này).
- Lỗi kiểm tra trạng thái thu hồi chứng chỉ – Hãy làm theo các bước trong bài viết Cách GCDS kiểm tra danh sách thu hồi chứng chỉ.
- Các lỗi khác (ví dụ: lỗi mạng) – Hãy chuyển đến bài viết Khắc phục các vấn đề thường gặp về GCDS.
Nhập chứng chỉ máy chủ
Bạn cũng có thể sử dụng các bước này để nhập chứng chỉ cho máy chủ LDAP hoặc proxy HTTP sử dụng chứng chỉ tự ký.
- Đăng nhập vào bộ điều khiển miền rồi mở lời nhắc lệnh.
- Để xuất chứng chỉ bộ điều khiển miền, hãy nhập lệnh sau:
certutil -store My DomainController dccert.cer
- Sao chép tệp dccert.cer vào máy chủ đã cài đặt GCDS.
- Với tư cách quản trị viên, hãy mở lời nhắc lệnh.
- Để mở thư mục cài đặt Môi trường chạy Java (JRE) của Google Cloud Directory Sync (GCDS), hãy nhập lệnh sau:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Nếu bạn đang chạy phiên bản GCDS 32 bit được cài đặt trên hệ thống Windows 64 bit, hãy sử dụng cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- Để nhập chứng chỉ của bộ điều khiển miền, hãy nhập lệnh sau:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Nếu bạn cần nhập nhiều chứng chỉ, hãy lặp lại các bước này bằng một bí danh khác thay cho mydc.
- Nhập Có để tin cậy chứng chỉ.
- Đóng Trình quản lý cấu hình.
- Trong thư mục cài đặt GCDS, hãy mở tệp sync-cmd.vmoptions và config-manager.vmoptions bằng trình chỉnh sửa văn bản.
- Trong mỗi tệp, hãy xoá:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTKhi bạn xoá các dòng này, GCDS sẽ sử dụng kho chứng chỉ trong lib/security/cacerts thay vì kho hệ thống Windows.
- Mở Trình quản lý cấu hình, chuyển đến trang Cấu hình LDAP rồi nhấp vào Kiểm tra kết nối.
- Nếu bạn vẫn thấy các lỗi liên quan đến chứng chỉ, thì có thể bạn cần nhập chứng chỉ của Tổ chức cấp chứng chỉ (CA) của tổ chức thay vì chứng chỉ bộ điều khiển miền. Để thực hiện việc này, hãy lặp lại các bước này nhưng xuất và nhập chứng chỉ CA.
Các bước dành cho Linux
Bạn cũng có thể sử dụng các bước này để nhập chứng chỉ cho máy chủ LDAP hoặc proxy HTTP sử dụng chứng chỉ tự ký.
- Đăng nhập vào bộ điều khiển miền rồi mở lời nhắc lệnh.
- Để tìm chứng chỉ miền, hãy nhập lệnh sau:
certutil -store My DomainController dccert.cer
- Sao chép tệp dccert.cer vào máy chủ đã cài đặt GCDS.
- Để mở thư mục cài đặt Môi trường chạy Java (JRE) của Google Cloud Directory Sync (GCDS), hãy mở dấu nhắc lệnh rồi nhập lệnh sau:
cd ~/GoogleCloudDirSync/jre
- Để nhập chứng chỉ của bộ điều khiển miền, hãy nhập lệnh sau:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Nếu bạn cần nhập nhiều chứng chỉ, hãy lặp lại các bước này bằng một bí danh khác thay cho mydc.
- Nhập Có để tin cậy chứng chỉ.
- Đóng Trình quản lý cấu hình.
- Trong thư mục cài đặt GCDS, hãy mở tệp sync-cmd.vmoptions và config-manager.vmoptions bằng trình chỉnh sửa văn bản.
Thư mục cài đặt thường là ~/GoogleCloudDirSync.
- Trong mỗi tệp, hãy xoá:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTKhi bạn xoá các dòng này, GCDS sẽ sử dụng kho chứng chỉ trong lib/security/cacerts thay vì kho hệ thống Windows.
- Mở Trình quản lý cấu hình, chuyển đến trang Cấu hình LDAP rồi nhấp vào Kiểm tra kết nối.
- Nếu bạn vẫn thấy các lỗi liên quan đến chứng chỉ, thì có thể bạn cần nhập chứng chỉ của Tổ chức cấp chứng chỉ (CA) của tổ chức thay vì chứng chỉ bộ điều khiển miền. Để thực hiện việc này, hãy lặp lại các bước này nhưng xuất và nhập chứng chỉ CA.
Cách GCDS kiểm tra danh sách thu hồi chứng chỉ
GCDS cần xác thực chứng chỉ Lớp cổng bảo mật (SSL) khi kết nối với các API của Google (qua HTTPS) và với LDAP qua SSL. GCDS thực hiện việc này bằng cách truy xuất danh sách thu hồi chứng chỉ (CRL) từ các Tổ chức cấp chứng chỉ qua HTTP. Đôi khi, các quy trình xác thực này không thành công, thường là do một proxy hoặc tường lửa chặn yêu cầu HTTP.
Đảm bảo rằng máy chủ GCDS có thể truy cập vào các URL sau qua HTTP (cổng 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Để biết thông tin chi tiết về CRL hiện tại, hãy chuyển đến phần CRL check. Bạn có thể cần thêm URL nếu đang sử dụng chứng chỉ của riêng mình cho LDAP qua SSL.
Nếu không cho phép truy cập vào CRL, bạn có thể tắt tính năng kiểm tra CRL:
Trong thư mục cài đặt GCDS, hãy mở tệp sync-cmd.vmoptions và config-manager.vmoptions bằng trình chỉnh sửa văn bản.
Thư mục cài đặt thường là C:\Program Files\Google Cloud Directory Sync (Windows) hoặc ~/GoogleCloudDirSync (Linux).
Thêm các dòng này vào tệp:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
Quá trình đồng bộ hoá diễn ra chậm sau khi chuyển sang LDAP+SSL
Nếu bạn đã chuyển sang LDAP+SSL và quá trình đồng bộ hoá diễn ra chậm:
- Đóng Trình quản lý cấu hình.
Trong thư mục cài đặt GCDS, hãy mở tệp sync-cmd.vmoptions và config-manager.vmoptions bằng trình chỉnh sửa văn bản.
Thư mục cài đặt thường là C:\Program Files\Google Cloud Directory Sync (Windows) hoặc ~/GoogleCloudDirSync (Linux).
Chỉnh sửa các tệp để thêm các dòng sau:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simpleLưu các tệp rồi thử lại quá trình đồng bộ hoá.
Đảm bảo xác thực sau khi cập nhật Microsoft ADV190023
Nếu đang sử dụng Microsoft Active Directory có tính năng liên kết kênh và ký LDAP được bật, bạn phải thực hiện thêm các bước để đảm bảo rằng GCDS xác thực bằng LDAP qua SSL. Nếu không, GCDS sẽ không kết nối với Active Directory và quá trình đồng bộ hoá sẽ không thành công. Bạn cần thực hiện các bước này ngay cả khi trước đây bạn đã chạy quá trình đồng bộ hoá bằng tính năng xác thực LDAP tiêu chuẩn. Để biết thông tin chi tiết về khuyến nghị ADV190023 của Microsoft, hãy xem tài liệu của Microsoft.
Nếu đang sử dụng thành công LDAP qua SSL, bạn không cần thực hiện bước nào.
Bước 1: Bật TLS trong Active Directory
Các thuật ngữ TLS và SSL thường được sử dụng thay thế cho nhau.
Để bật TLS trong Active Directory, hãy tham khảo các bài viết sau của Microsoft:
- Enable LDAP over SSL with a third-party certification authority (Bật LDAP qua SSL bằng tổ chức cấp chứng chỉ bên thứ ba)
- Creating Custom Secure LDAP Certificates for Domain Controllers with Auto Renewal (Tạo chứng chỉ LDAP bảo mật tuỳ chỉnh cho bộ điều khiển miền có tính năng tự động gia hạn)
- Troubleshoot LDAP over SSL connection problems (Khắc phục sự cố kết nối LDAP qua SSL)
Bước 2: Đảm bảo rằng chứng chỉ được tin cậy
Tổ chức cấp chứng chỉ (CA) đã ký chứng chỉ của bộ điều khiển miền phải được GCDS tin cậy. Hầu hết các CA internet nổi tiếng, chẳng hạn như Verisign, Comodo và Let's Encrypt đều được tin cậy. Nếu sử dụng các CA này, bạn có thể bỏ qua bước này.
Nếu CA của bạn không được tin cậy hoặc nếu bạn đang sử dụng CA gốc của riêng mình, hãy làm theo các bước ở trên trong phần Khắc phục các lỗi liên quan đến chứng chỉ.
Bước 3: Thiết lập Trình quản lý cấu hình
- Mở Trình quản lý cấu hình rồi chuyển đến trang Cấu hình LDAP.
- Đối với chế độ cài đặt Loại kết nối, hãy chỉ định LDAP+SSL.
- Đối với chế độ cài đặt Cổng, hãy chỉ định 636 (nếu trước đây bạn đã sử dụng 389) hoặc 3269 (nếu trước đây bạn đã sử dụng 3268).
- Nhấp vào Kiểm tra kết nối.
Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả tên công ty và sản phẩm khác đều là nhãn hiệu của các công ty có liên quan.