פתרון בעיות שקשורות לאישורים

יכול להיות שתראו את השגיאות הבאות שקשורות לאישור בקובץ היומן של Google Cloud Directory Sync‏ (GCDS):

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ‫ldap_simple_bind_s() failed: Strong Authentication Required

כדי לתקן את השגיאות האלה, מבצעים את השלבים הבאים.

הנושאים בדף

פתרון שגיאות שקשורות לאישורים

שלבים ל-Microsoft Windows

עדכון קובץ vmoption

  1. סוגרים את Configuration Manager.
  2. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions.

    ספריית ההתקנה היא בדרך כלל C:\Program Files\Google Cloud Directory Sync.

  3. עורכים את הקבצים כדי להוסיף את השורות הבאות:

    ‪-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    ‪-Djavax.net.ssl.trustStoreType=Windows-ROOT
    ‪-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    ‪-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. מפעילים מחדש את אשף ההגדרות ועוברים לדף LDAP Configuration (הגדרת LDAP).
  5. בקטע סוג החיבור, מציינים LDAP+SSL.
  6. בוחרים אפשרות בשדה יציאה:
    • אם השתמשתם בעבר ב-389, מציינים 636
    • אם השתמשתם בעבר ב-3268, צריך לציין את 3269.
  7. לוחצים על בדיקת החיבור.
  8. אם מקבלים:

ייבוא אישור השרת

אפשר גם להשתמש בשלבים האלה כדי לייבא אישורים לשרתי LDAP או לשרתי proxy של HTTP שמשתמשים באישורים בחתימה עצמית.

  1. נכנסים לבקר הדומיין ופותחים שורת פקודה.
  2. כדי לייצא את האישור של בקר הדומיין, מזינים את הפקודה הבאה:

    certutil -store My DomainController dccert.cer

  3. מעתיקים את הקובץ dccert.cer לשרת שבו מותקן GCDS.
  4. פותחים שורת פקודה כאדמין.
  5. כדי לפתוח את תיקיית ההתקנה של GCDS סביבת זמן ריצה של Java ‏ (JRE), מזינים את הפקודה הבאה:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    אם אתם מריצים גרסת 32 ביט של GCDS שמותקנת במערכת Windows 64 ביט, משתמשים בפקודה cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. כדי לייבא את האישור של בקר הדומיין, מזינים את הפקודה הבאה:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    אם אתם צריכים לייבא יותר מאישור אחד, חוזרים על השלבים האלה ומשתמשים בכינוי אחר במקום mydc.

  7. מזינים Yes כדי להוסיף את האישור לרשימת האישורים המהימנים.
  8. סוגרים את Configuration Manager.
  9. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions באמצעות כלי לעריכת טקסט.
  10. בכל קובץ, מסירים את:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    כשמסירים את השורות, GCDS משתמש במאגר האישורים ב-lib/security/cacerts במקום במאגר המערכת של Windows.

  11. פותחים את Configuration Manager (כלי ניהול ההגדרות), עוברים לדף LDAP Configuration (הגדרת LDAP) ולוחצים על Test Connections (בדיקת חיבורים).
  12. אם עדיין מופיעות שגיאות שקשורות לאישור, יכול להיות שתצטרכו לייבא את האישור של רשות האישורים (CA) של הארגון ולא את האישור של בקר הדומיין. כדי לעשות את זה, חוזרים על השלבים האלה, אבל מייצאים ומייבאים את אישור CA במקום זאת.

שלבים ל-Linux

אפשר גם להשתמש בשלבים האלה כדי לייבא אישורים לשרתי LDAP או לשרתי proxy של HTTP שמשתמשים באישורים בחתימה עצמית.

  1. נכנסים לבקר הדומיין ופותחים שורת פקודה.
  2. כדי לאתר את אישור הדומיין, מזינים את הפקודה הבאה:

    certutil -store My DomainController dccert.cer

  3. מעתיקים את הקובץ dccert.cer לשרת שבו מותקן GCDS.
  4. כדי לפתוח את תיקיית ההתקנה של GCDS Java Runtime Environment ‏ (JRE), פותחים את שורת הפקודה ומזינים את הפקודה הבאה:

    cd ~/GoogleCloudDirSync/jre

  5. כדי לייבא את האישור של בקר הדומיין, מזינים את הפקודה הבאה:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    אם אתם צריכים לייבא יותר מאישור אחד, חוזרים על השלבים האלה ומשתמשים בכינוי אחר במקום mydc.

  6. מזינים Yes כדי להוסיף את האישור לרשימת האישורים המהימנים.
  7. סוגרים את Configuration Manager.
  8. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions באמצעות כלי לעריכת טקסט.

    ספריית ההתקנה היא בדרך כלל ~/GoogleCloudDirSync.

  9. בכל קובץ, מסירים את:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    כשמסירים את השורות, GCDS משתמש במאגר האישורים ב-lib/security/cacerts במקום במאגר המערכת של Windows.

  10. פותחים את Configuration Manager (כלי ניהול ההגדרות), עוברים לדף LDAP Configuration (הגדרת LDAP) ולוחצים על Test Connections (בדיקת חיבורים).
  11. אם עדיין מופיעות שגיאות שקשורות לאישור, יכול להיות שתצטרכו לייבא את האישור של רשות האישורים (CA) של הארגון ולא את האישור של בקר הדומיין. כדי לעשות את זה, חוזרים על השלבים האלה, אבל מייצאים ומייבאים את אישור CA במקום זאת.

איך רשימות אישורים שבוטלו נבדקות ב-GCDS

‫GCDS צריך לאמת אישורים של שכבת שקע מאובטחת (SSL) כשמתחברים לממשקי API של Google (דרך HTTPS) ול-LDAP דרך SSL. ‫GCDS עושה זאת על ידי אחזור רשימות אישורים שבוטלו (CRL) מרשויות אישורים באמצעות HTTP. לפעמים האימותים האלה נכשלים, בדרך כלל בגלל ש-proxy או חומת אש חוסמים את בקשת ה-HTTP.

מוודאים שלשרת GCDS יש גישה לכתובות ה-URL הבאות דרך HTTP (יציאה 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

פרטים על רשימות CRL עדכניות זמינים במאמר בנושא בדיקת CRL. יכול להיות שתצטרכו כתובות URL נוספות אם אתם משתמשים באישורים משלכם ל-LDAP over SSL.

אם אין לכם אפשרות לאפשר גישה ל-CRL, אתם יכולים להשבית את הבדיקות של ה-CRL:

  1. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions באמצעות כלי לעריכת טקסט.

    ספריית ההתקנה היא בדרך כלל C:\Program Files\Google Cloud Directory Sync (Windows) או ~/GoogleCloudDirSync (Linux).

  2. מוסיפים את השורות הבאות לקבצים:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

הסנכרון איטי אחרי המעבר ל-LDAP+SSL

אם עברתם ל-LDAP+SSL ותהליך הסנכרון שלכם הואט:

  1. סוגרים את אשף ההגדרות.

  2. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions באמצעות כלי לעריכת טקסט.

    ספריית ההתקנה היא בדרך כלל C:\Program Files\Google Cloud Directory Sync (Windows) או ~/GoogleCloudDirSync (Linux).

  3. עורכים את הקבצים כדי להוסיף את השורות הבאות:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. שומרים את הקבצים ומנסים שוב לסנכרן.

אימות אחרי העדכון Microsoft ADV190023

אם אתם משתמשים ב-Microsoft Active Directory עם הפעלה של שיוך ערוצים וחתימת LDAP, אתם צריכים לבצע שלבים נוספים כדי לוודא ש-GCDS מבצע אימות באמצעות LDAP over SSL. אחרת, GCDS לא יתחבר ל-Active Directory והסנכרונים ייכשלו. צריך לבצע את השלבים האלה גם אם הפעלתם בעבר סנכרון באמצעות אימות LDAP רגיל. פרטים נוספים על ההמלצה של מיקרוסופט ADV190023 זמינים במסמכי העזרה של מיקרוסופט.

אם אתם כבר משתמשים בהצלחה ב-LDAP באמצעות SSL, אתם לא צריכים לבצע שום פעולה.

שלב 1: הפעלת TLS ב-Active Directory

המונחים TLS ו-SSL משמשים לעיתים קרובות לסירוגין.

כדי להפעיל TLS ב-Active Directory, אפשר לעיין במאמרים הבאים של מיקרוסופט:

שלב 2: וידוא שהאישור מהימן

רשות האישורים (CA) שחתמה על האישור של בקר הדומיין חייבת להיות מהימנה על ידי GCDS. רוב רשויות האישורים המוכרות באינטרנט, כמו Verisign,‏ Comodo ו-Let's Encrypt, נחשבות מהימנות. אם אתם משתמשים ברשויות אישורים האלה, אתם יכולים לדלג על השלב הזה.

אם הרשות שמנפיקה את האישורים (CA) שלכם לא מהימנה או אם אתם משתמשים באישור בסיס משלכם, צריך לפעול לפי השלבים שמופיעים למעלה בקטע פתרון שגיאות שקשורות לאישורים.

שלב 3: הגדרת Configuration Manager

  1. פותחים את אשף ההגדרות ועוברים לדף LDAP Configuration (הגדרות LDAP).
  2. בהגדרה סוג החיבור, מציינים LDAP+SSL.
  3. בהגדרת היציאה, מציינים 636 (אם השתמשתם בעבר ב-389) או 3269 (אם השתמשתם בעבר ב-3268).
  4. לוחצים על בדיקת החיבור.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.