Es posible que veas los siguientes errores relacionados con certificados en tu archivo de registro de Google Cloud Directory Sync (GCDS):
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Sigue los pasos que se indican a continuación para corregir estos errores.
Contenido de esta página
- Cómo corregir errores relacionados con certificados
- Cómo GCDS verifica las listas de revocación de certificados
- La sincronización es lenta después de cambiar a LDAP+SSL
- Garantiza la autenticación después de la actualización de Microsoft ADV190023
Cómo corregir errores relacionados con certificados
Pasos para Microsoft Windows
Actualiza el archivo vmoption
- Cierra el Administrador de configuración.
- En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions.
Por lo general, el directorio de instalación es C:\Archivos de programa\Google Cloud Directory Sync.
- Edita los archivos para agregar las siguientes líneas:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Reinicia el Administrador de configuración y ve a la página Configuración LDAP.
- En Tipo de conexión, especifica LDAP+SSL.
- En Puerto , elige una opción:
- Si antes usabas 389, especifica 636
- Si antes usabas 3268, especifica 3269.
- Haz clic en Test Connection.
- Si recibes lo siguiente:
- Un error de certificado: En el equipo en el que se ejecuta GCDS, asegúrate de que Windows confíe en el certificado. Luego, continúa con el Paso 2: Importa el certificado del servidor (más abajo en esta página).
- Un error de verificación de revocación de certificado: Sigue los pasos que se indican en Cómo GCDS verifica las listas de revocación de certificados.
- Otros errores (por ejemplo, errores de red): Ve a Soluciona problemas comunes de GCDS.
Importa el certificado del servidor
También puedes usar estos pasos para importar certificados para servidores LDAP o proxies HTTP que usan certificados autofirmados.
- Accede al controlador de dominio y abre un símbolo del sistema.
- Para exportar el certificado del controlador de dominio, ingresa el siguiente comando:
certutil -store My DomainController dccert.cer
- Copia el archivo dccert.cer en el servidor en el que está instalado GCDS.
- Como administrador, abre un símbolo del sistema.
- Para abrir la carpeta de instalación de Java Runtime Environment (JRE) de GCDS, ingresa el siguiente comando:
cd "c:\Archivos de programa\Google Cloud Directory Sync\jre"
Si ejecutas una versión de 32 bits de GCDS instalada en un sistema Windows de 64 bits, usa cd "c:\Archivos de programa (x86)\Google Cloud Directory Sync\jre".
- Para importar el certificado del controlador de dominio, ingresa el siguiente comando:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Si necesitas importar más de un certificado, repite estos pasos con un alias diferente en lugar de mydc.
- Ingresa Yes para confiar en el certificado.
- Cierra el Administrador de configuración.
- En el directorio de instalación de GCDS, con un editor de texto, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions.
- En cada archivo, quita lo siguiente:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTCuando quitas las líneas, GCDS usa el almacén de certificados en lib/security/cacerts en lugar del almacén del sistema de Windows.
- Abre el Administrador de configuración, ve a la página Configuración LDAP y haz clic en Test Connections.
- Si sigues viendo errores relacionados con certificados, es posible que debas importar el certificado de la autoridad certificadora (AC) de tu organización en lugar del certificado del controlador de dominio. Para ello, repite estos pasos, pero exporta e importa el certificado de la AC.
Pasos para Linux
También puedes usar estos pasos para importar certificados para servidores LDAP o proxies HTTP que usan certificados autofirmados.
- Accede al controlador de dominio y abre un símbolo del sistema.
- Para ubicar el certificado de dominio, ingresa el siguiente comando:
certutil -store My DomainController dccert.cer
- Copia el archivo dccert.cer en el servidor en el que está instalado GCDS.
- Para abrir la carpeta de instalación de Java Runtime Environment (JRE) de GCDS, abre un símbolo del sistema y, luego, ingresa el siguiente comando:
cd ~/GoogleCloudDirSync/jre
- Para importar el certificado del controlador de dominio, ingresa el siguiente comando:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Si necesitas importar más de un certificado, repite estos pasos con un alias diferente en lugar de mydc.
- Ingresa Yes para confiar en el certificado.
- Cierra el Administrador de configuración.
- En el directorio de instalación de GCDS, con un editor de texto, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions.
Por lo general, el directorio de instalación es ~/GoogleCloudDirSync.
- En cada archivo, quita lo siguiente:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTCuando quitas las líneas, GCDS usa el almacén de certificados en lib/security/cacerts en lugar del almacén del sistema de Windows.
- Abre el Administrador de configuración, ve a la página Configuración LDAP y haz clic en Test Connections.
- Si sigues viendo errores relacionados con certificados, es posible que debas importar el certificado de la autoridad certificadora (AC) de tu organización en lugar del certificado del controlador de dominio. Para ello, repite estos pasos, pero exporta e importa el certificado de la AC.
Cómo GCDS verifica las listas de revocación de certificados
GCDS necesita validar los certificados de Secure Sockets Layer (SSL) cuando se conecta a las APIs de Google (a través de HTTPS) y a LDAP a través de SSL. Para ello, GCDS recupera las listas de revocación de certificados (CRL) de las autoridades certificadoras a través de HTTP. A veces, estas validaciones fallan, por lo general, debido a que un proxy o firewall bloquea la solicitud HTTP.
Asegúrate de que el servidor de GCDS pueda acceder a las siguientes URLs a través de HTTP (puerto 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Para obtener detalles sobre las CRL actuales, consulta Verificación de CRL. Es posible que se necesiten URLs adicionales si usas tus propios certificados para LDAP a través de SSL.
Si no puedes permitir el acceso a la CRL, puedes desactivar las verificaciones de CRL:
En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.
Por lo general, el directorio de instalación es C:\Archivos de programa\Google Cloud Directory Sync (Windows) o ~/GoogleCloudDirSync (Linux).
Agrega estas líneas a los archivos:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
La sincronización es lenta después de cambiar a LDAP+SSL
Si cambiaste a LDAP+SSL y el proceso de sincronización se ralentizó, haz lo siguiente:
- Cierra el Administrador de configuración.
En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.
Por lo general, el directorio de instalación es C:\Archivos de programa\Google Cloud Directory Sync (Windows) o ~/GoogleCloudDirSync (Linux).
Edita los archivos para agregar las siguientes líneas:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simpleGuarda los archivos y vuelve a intentar la sincronización.
Garantiza la autenticación después de la actualización de Microsoft ADV190023
Si usas Microsoft Active Directory con el enlace de canal y la firma LDAP activados, debes seguir pasos adicionales para asegurarte de que GCDS se autentique con LDAP a través de SSL. De lo contrario, GCDS no se conectará a Active Directory y tus sincronizaciones fallarán. Debes seguir estos pasos incluso si antes ejecutaste una sincronización con la autenticación LDAP estándar. Para obtener detalles sobre el aviso ADV190023 de Microsoft, consulta la documentación de Microsoft.
Si ya usas LDAP a través de SSL correctamente, no es necesario que sigas ningún paso.
Paso 1: Activa TLS en Active Directory
Los términos TLS y SSL suelen usarse de forma indistinta.
Para activar TLS en Active Directory, consulta estos artículos de Microsoft:
Paso 2: Asegúrate de que el certificado sea de confianza
GCDS debe confiar en la autoridad certificadora (AC) que firmó el certificado del controlador de dominio. La mayoría de las AC de Internet conocidas, como Verisign, Comodo y Let's Encrypt, son de confianza. Si usas estas AC, puedes omitir este paso.
Si tu AC no es de confianza o si usas tu propia AC raíz, sigue los pasos anteriores en Cómo corregir errores relacionados con certificados.
Paso 3: Configura el Administrador de configuración
- Abre el Administrador de configuración y ve a la página Configuración LDAP.
- En el parámetro de configuración Tipo de conexión, especifica LDAP+SSL.
- En el parámetro de configuración Puerto, especifica 636 (si antes usabas 389) o 3269 (si antes usabas 3268).
- Haz clic en Test Connection.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.