Es posible que veas los siguientes errores relacionados con el certificado en el archivo de registro de Google Cloud Directory Sync (GCDS):
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Sigue los pasos que se indican a continuación para corregir estos errores.
En esta página
- Cómo corregir errores relacionados con certificados
- Cómo GCDS verifica las listas de revocación de certificados
- La sincronización es lenta después de cambiar a LDAP+SSL
- Garantiza la autenticación después de la actualización de Microsoft ADV190023
Cómo corregir errores relacionados con certificados
Pasos para Microsoft Windows
Actualiza el archivo vmoption
- Cierra el Administrador de configuración.
- En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions.
Por lo general, el directorio de instalación es C:\Program Files\Google Cloud Directory Sync.
- Edita los archivos para agregar las siguientes líneas:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Reinicia el Administrador de configuración y ve a la página Configuración LDAP.
- En Tipo de conexión, especifica LDAP+SSL.
- En Puerto, elige una opción:
- Si antes usabas 389, especifica 636.
- Si antes usabas 3268, especifica 3269.
- Haz clic en Test Connection.
- Si ves lo siguiente:
- Error de certificado: En la computadora en la que se ejecuta GCDS, asegúrate de que Windows confíe en el certificado. Luego, continúa con el Paso 2: Importa el certificado del servidor (más abajo en esta página).
- Se produjo un error en la verificación de revocación de certificados. Sigue los pasos que se indican en Cómo GCDS verifica las listas de revocación de certificados.
- Otros errores (por ejemplo, errores de red): Consulta Soluciona problemas comunes de GCDS.
Importa el certificado del servidor
También puedes seguir estos pasos para importar certificados para servidores LDAP o proxies HTTP que usen certificados autofirmados.
- Accede al controlador de dominio y abre un símbolo del sistema.
- Para exportar el certificado del controlador de dominio, ingresa el siguiente comando:
certutil -store My DomainController dccert.cer
- Copia el archivo dccert.cer en el servidor en el que está instalado GCDS.
- Como administrador, abre un símbolo del sistema.
- Para abrir la carpeta de instalación de Java Runtime Environment (JRE) de GCDS, ingresa el siguiente comando:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Si ejecutas una versión de 32 bits de GCDS instalada en un sistema Windows de 64 bits, usa cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".
- Para importar el certificado del controlador de dominio, ingresa el siguiente comando:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Si necesitas importar más de un certificado, repite estos pasos con un alias diferente en lugar de mydc.
- Ingresa Yes para confiar en el certificado.
- Cierra el Administrador de configuración.
- En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.
- En cada archivo, quita lo siguiente:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTCuando quitas las líneas, GCDS usa el almacén de certificados en lib/security/cacerts en lugar del almacén del sistema de Windows.
- Abre el Administrador de configuración, ve a la página Configuración LDAP y haz clic en Probar conexiones.
- Si sigues viendo errores relacionados con el certificado, es posible que debas importar el certificado de la autoridad certificadora (AC) de tu organización en lugar del certificado del controlador de dominio. Para ello, repite estos pasos, pero exporta e importa el certificado de la AC.
Pasos para Linux
También puedes seguir estos pasos para importar certificados para servidores LDAP o proxies HTTP que usen certificados autofirmados.
- Accede al controlador de dominio y abre un símbolo del sistema.
- Para ubicar el certificado de dominio, ingresa el siguiente comando:
certutil -store My DomainController dccert.cer
- Copia el archivo dccert.cer en el servidor en el que está instalado GCDS.
- Para abrir la carpeta de instalación de Java Runtime Environment (JRE) de GCDS, abre un símbolo del sistema y escribe el siguiente comando:
cd ~/GoogleCloudDirSync/jre
- Para importar el certificado del controlador de dominio, ingresa el siguiente comando:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Si necesitas importar más de un certificado, repite estos pasos con un alias diferente en lugar de mydc.
- Ingresa Yes para confiar en el certificado.
- Cierra el Administrador de configuración.
- En el directorio de instalación de GCDS, abre los archivos sync-cmd.vmoptions y config-manager.vmoptions con un editor de texto.
Por lo general, el directorio de instalación es ~/GoogleCloudDirSync.
- En cada archivo, quita lo siguiente:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTCuando quitas las líneas, GCDS usa el almacén de certificados en lib/security/cacerts en lugar del almacén del sistema de Windows.
- Abre el Administrador de configuración, ve a la página Configuración LDAP y haz clic en Probar conexiones.
- Si sigues viendo errores relacionados con el certificado, es posible que debas importar el certificado de la autoridad certificadora (AC) de tu organización en lugar del certificado del controlador de dominio. Para ello, repite estos pasos, pero exporta e importa el certificado de la AC.
Cómo GCDS verifica las listas de revocación de certificados
GCDS debe validar los certificados de capa de conexión segura (SSL) cuando se conecta a las APIs de Google (a través de HTTPS) y a LDAP a través de SSL. Para ello, GCDS recupera las listas de revocación de certificados (CRL) de las autoridades certificadoras a través de HTTP. A veces, estas validaciones fallan, por lo general, debido a que un proxy o firewall bloquea la solicitud HTTP.
Asegúrate de que el servidor de GCDS pueda acceder a las siguientes URLs a través de HTTP (puerto 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Para obtener detalles sobre las CRL actuales, consulta Verificación de CRL. Es posible que necesites URLs adicionales si usas tus propios certificados para LDAP a través de SSL.
Si no puedes permitir el acceso a la CRL, puedes desactivar las verificaciones de la CRL:
En el directorio de instalación de GCDS, abre los archivos
<code class="notranslate">sync-cmd.vmoptions</code>y<code class="notranslate">config-manager.vmoptions</code>con un editor de texto.El directorio de instalación suele ser
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) o<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Agrega estas líneas a los archivos:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
La sincronización es lenta después de cambiar a LDAP+SSL
Si cambiaste a LDAP+SSL y tu proceso de sincronización se ralentizó, haz lo siguiente:
- Cierra el Administrador de configuración.
En el directorio de instalación de GCDS, abre los archivos
<code class="notranslate">sync-cmd.vmoptions</code>y<code class="notranslate">config-manager.vmoptions</code>con un editor de texto.El directorio de instalación suele ser
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) o<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Edita los archivos para agregar las siguientes líneas:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
Guarda los archivos y vuelve a intentar la sincronización.
Garantiza la autenticación después de la actualización de Microsoft ADV190023
Si usas Microsoft Active Directory con la vinculación de canales y la firma de LDAP activadas, debes realizar pasos adicionales para asegurarte de que GCDS se autentique con LDAP a través de SSL. De lo contrario, GCDS no se conectará a Active Directory y fallarán las sincronizaciones. Debes seguir estos pasos incluso si ya ejecutaste una sincronización con la autenticación LDAP estándar. Para obtener detalles sobre el aviso ADV190023 de Microsoft, consulta la documentación de Microsoft.
Si ya usas LDAP a través de SSL correctamente, no es necesario que realices ningún paso.
Paso 1: Activa TLS en Active Directory
Los términos TLS y SSL suelen usarse indistintamente.
Para activar TLS en Active Directory, consulta estos artículos de Microsoft:
Paso 2: Asegúrate de que el certificado sea de confianza
GCDS debe confiar en la autoridad certificadora (CA) que firmó el certificado de tu controlador de dominio. La mayoría de las CA de Internet más conocidas, como Verisign, Comodo y Let's Encrypt, son de confianza. Si usas estas entidades certificadoras, puedes omitir este paso.
Si tu AC no es de confianza o si usas tu propia AC raíz, sigue los pasos anteriores en Cómo corregir errores relacionados con el certificado.Paso 3: Configura Configuration Manager
- Abre el Administrador de configuración y ve a la página Configuración de LDAP.
- En el parámetro de configuración Tipo de conexión, especifica LDAP+SSL.
- En el parámetro de configuración Port, especifica 636 (si antes usabas 389) o 3269 (si antes usabas 3268).
- Haz clic en Test Connection.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.