פתרון בעיות שקשורות לאישורים

יכול להיות ששגיאות שקשורות לאישור יופיעו בקובץ היומן של Google Cloud Directory Sync ‏ (GCDS):

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

כדי לפתור את השגיאות האלה, מבצעים את השלבים הבאים.

הנושאים בדף

פתרון שגיאות שקשורות לאישורים

שלבים ל-Microsoft Windows

עדכון קובץ vmoption

  1. סוגרים את Configuration Manager.
  2. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions.

    ספריית ההתקנה היא בדרך כלל C:\Program Files\Google Cloud Directory Sync.

  3. עורכים את הקבצים כדי להוסיף את השורות הבאות:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. מפעילים מחדש את Configuration Manager ועוברים לדף LDAP Configuration (הגדרת LDAP).
  5. בקטע סוג החיבור, מציינים LDAP+SSL.
  6. בוחרים אפשרות בשדה יציאה:
    • אם השתמשתם בעבר ב-389, מציינים 636
    • אם השתמשתם בעבר ב-3268, צריך לציין 3269.
  7. לוחצים על בדיקת החיבור.
  8. אם מקבלים:

ייבוא אישור השרת

אפשר גם להשתמש בשלבים האלה כדי לייבא אישורים לשרתי LDAP או לשרתי proxy של HTTP שמשתמשים באישורים בחתימה עצמית.

  1. נכנסים לבקר הדומיין ופותחים שורת פקודה.
  2. כדי לייצא את האישור של בקר הדומיין, מזינים את הפקודה הבאה:

    certutil -store My DomainController dccert.cer

  3. מעתיקים את הקובץ dccert.cer לשרת שבו מותקן GCDS.
  4. פותחים שורת פקודה כאדמין.
  5. כדי לפתוח את תיקיית ההתקנה של GCDS Java Runtime Environment ‏ (JRE), מזינים את הפקודה הבאה:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    אם אתם מריצים גרסת 32 ביט של GCDS שמותקנת במערכת Windows 64 ביט, השתמשו ב-cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. כדי לייבא את האישור של בקר הדומיין, מזינים את הפקודה הבאה:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    אם צריך לייבא יותר מאישור אחד, חוזרים על השלבים האלה ומשתמשים בכינוי אחר במקום mydc.

  7. מזינים Yes כדי להוסיף את האישור לרשימת האישורים המהימנים.
  8. סוגרים את Configuration Manager.
  9. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions באמצעות כלי לעריכת טקסט.
  10. בכל קובץ, מסירים את:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    כשמסירים את השורות, GCDS משתמש במאגר האישורים ב-lib/security/cacerts במקום במאגר המערכת של Windows.

  11. פותחים את Configuration Manager (כלי ההגדרה), עוברים לדף LDAP Configuration (הגדרת LDAP) ולוחצים על Test Connections (בדיקת חיבורים).
  12. אם עדיין מופיעות שגיאות שקשורות לאישור, יכול להיות שתצטרכו לייבא את האישור של רשות האישורים (CA) של הארגון ולא את האישור של בקר הדומיין. כדי לעשות את זה, חוזרים על השלבים האלה אבל מייצאים ומייבאים את אישור ה-CA במקום.

שלבים ל-Linux

אפשר גם להשתמש בשלבים האלה כדי לייבא אישורים לשרתי LDAP או לשרתי proxy של HTTP שמשתמשים באישורים בחתימה עצמית.

  1. נכנסים לבקר הדומיין ופותחים שורת פקודה.
  2. כדי לאתר את אישור הדומיין, מזינים את הפקודה הבאה:

    certutil -store My DomainController dccert.cer

  3. מעתיקים את הקובץ dccert.cer לשרת שבו מותקן GCDS.
  4. כדי לפתוח את תיקיית ההתקנה של GCDS Java Runtime Environment ‏ (JRE), פותחים שורת פקודה ומזינים את הפקודה הבאה:

    cd ~/GoogleCloudDirSync/jre

  5. כדי לייבא את האישור של בקר הדומיין, מזינים את הפקודה הבאה:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    אם צריך לייבא יותר מאישור אחד, חוזרים על השלבים האלה ומשתמשים בכינוי אחר במקום mydc.

  6. מזינים Yes כדי להוסיף את האישור לרשימת האישורים המהימנים.
  7. סוגרים את Configuration Manager.
  8. בספריית ההתקנה של GCDS, פותחים את הקבצים sync-cmd.vmoptions ו-config-manager.vmoptions באמצעות כלי לעריכת טקסט.

    ספריית ההתקנה היא בדרך כלל ~/GoogleCloudDirSync.

  9. בכל קובץ, מסירים את:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    כשמסירים את השורות, GCDS משתמש במאגר האישורים ב-lib/security/cacerts במקום במאגר המערכת של Windows.

  10. פותחים את Configuration Manager (כלי ההגדרה), עוברים לדף LDAP Configuration (הגדרת LDAP) ולוחצים על Test Connections (בדיקת חיבורים).
  11. אם עדיין מופיעות שגיאות שקשורות לאישור, יכול להיות שתצטרכו לייבא את האישור של רשות האישורים (CA) של הארגון ולא את האישור של בקר הדומיין. כדי לעשות את זה, חוזרים על השלבים האלה אבל מייצאים ומייבאים את אישור ה-CA במקום.

איך רשימות אישורים שבוטלו נבדקות ב-GCDS

כדי להתחבר לממשקי API של Google (באמצעות HTTPS) ול-LDAP באמצעות SSL,‏ GCDS צריך לאמת אישורים של Secure Sockets Layer‏ (SSL). ‫GCDS עושה זאת על ידי אחזור רשימות אישורים שבוטלו (CRL) מרשויות אישורים באמצעות HTTP. לפעמים האימותים האלה נכשלים, בדרך כלל בגלל ש-proxy או חומת אש חוסמים את בקשת ה-HTTP.

מוודאים שלשרת GCDS יש גישה לכתובות ה-URL הבאות דרך HTTP (יציאה 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

פרטים על רשימות ה-CRL הנוכחיות זמינים במאמר בנושא בדיקת CRL. יכול להיות שתצטרכו להוסיף כתובות URL נוספות אם אתם משתמשים באישורים משלכם ל-LDAP over SSL.

אם אין לכם אפשרות לאפשר גישה ל-CRL, אתם יכולים להשבית את הבדיקות של ה-CRL:

  1. בספריית ההתקנה של GCDS, פותחים את הקבצים <code class="notranslate">sync-cmd.vmoptions</code> ו-<code class="notranslate">config-manager.vmoptions</code> באמצעות כלי לעריכת טקסט.

    ספריית ההתקנה היא בדרך כלל <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) או <code class="notranslate">~/GoogleCloudDirSync</code> (Linux).

  2. מוסיפים את השורות הבאות לקבצים:

    -Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

הסנכרון איטי אחרי המעבר ל-LDAP+SSL

אם עברתם ל-LDAP+SSL ותהליך הסנכרון שלכם הואט:

  1. סוגרים את Configuration Manager.

  2. בספריית ההתקנה של GCDS, פותחים את הקבצים <code class="notranslate">sync-cmd.vmoptions</code> ו-<code class="notranslate">config-manager.vmoptions</code> באמצעות כלי לעריכת טקסט.

    ספריית ההתקנה היא בדרך כלל <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) או <code class="notranslate">~/GoogleCloudDirSync</code> (Linux).

  3. עורכים את הקבצים כדי להוסיף את השורות הבאות:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. שומרים את הקבצים ומנסים לסנכרן שוב.

אימות אחרי העדכון Microsoft ADV190023

אם אתם משתמשים ב-Microsoft Active Directory עם הפעלת קישור ערוצים וחתימת LDAP, אתם צריכים לבצע שלבים נוספים כדי לוודא ש-GCDS מבצע אימות באמצעות LDAP over SSL. אחרת, GCDS לא יתחבר ל-Active Directory והסנכרונים ייכשלו. צריך לבצע את השלבים האלה גם אם הפעלתם בעבר סנכרון באמצעות אימות LDAP רגיל. פרטים על ההודעה של מיקרוסופט ADV190023 מופיעים במסמכי העזרה של מיקרוסופט.

אם אתם כבר משתמשים בהצלחה ב-LDAP over SSL, אתם לא צריכים לבצע שום פעולה.

שלב 1: הפעלת TLS ב-Active Directory

המונחים TLS ו-SSL משמשים לעיתים קרובות לסירוגין.

כדי להפעיל TLS ב-Active Directory, אפשר לעיין במאמרים הבאים של מיקרוסופט:

שלב 2: מוודאים שהאישור מהימן

רשות האישורים (CA) שחתמה על האישור של בקר הדומיין חייבת להיות מהימנה על ידי GCDS. רוב רשויות האישורים המוכרות באינטרנט, כמו Verisign,‏ Comodo ו-Let's Encrypt, הן מהימנות. אם אתם משתמשים ברשויות אישורים האלה, אתם יכולים לדלג על השלב הזה.

אם רשות האישורים שלכם לא מהימנה או אם אתם משתמשים באישור בסיס משלכם, צריך לפעול לפי השלבים שמופיעים למעלה בקטע פתרון שגיאות שקשורות לאישורים.

שלב 3: הגדרת Configuration Manager

  1. פותחים את Configuration Manager ועוברים לדף LDAP Configuration (הגדרות LDAP).
  2. בהגדרה סוג החיבור, מציינים LDAP+SSL.
  3. בהגדרת היציאה, מציינים 636 (אם השתמשתם בעבר ב-389) או 3269 (אם השתמשתם בעבר ב-3268).
  4. לוחצים על בדיקת החיבור.


‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.