आपको Google Cloud Directory Sync (GCDS) की लॉग फ़ाइल में, सर्टिफ़िकेट से जुड़ी ये गड़बड़ियां दिख सकती हैं:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() फ़ंक्शन काम नहीं कर सका: पुष्टि करने के लिए सुरक्षित तरीके की ज़रूरत है
इन गड़बड़ियों को ठीक करने के लिए, यहां दिया गया तरीका अपनाएं.
इस पेज पर
- सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करना
- GCDS, निरस्त किए गए सर्टिफ़िकेट की सूचियों की जांच कैसे करता है
- LDAP+SSL पर स्विच करने के बाद, सिंक करने की प्रोसेस धीमी हो जाती है
- Microsoft ADV190023 अपडेट के बाद पुष्टि करना
सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करना
Microsoft Windows के लिए तरीका
vmoption फ़ाइल अपडेट करना
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
इंस्टॉलेशन डायरेक्ट्री आम तौर पर C:\Program Files\Google Cloud Directory Sync होती है.
- इन लाइनों को जोड़ने के लिए, फ़ाइलों में बदलाव करें:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Configuration Manager को फिर से चालू करें और LDAP कॉन्फ़िगरेशन पेज पर जाएं.
- कनेक्शन टाइप के लिए, LDAP+SSL चुनें.
- पोर्ट के लिए, इनमें से कोई विकल्प चुनें:
- अगर आपने पहले 389 का इस्तेमाल किया था, तो 636 डालें
- अगर आपने पहले 3268 का इस्तेमाल किया था, तो 3269 डालें.
- कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको:
- सर्टिफ़िकेट से जुड़ी गड़बड़ी–जिस कंप्यूटर पर GCDS चल रहा है उस पर पक्का करें कि Windows को सर्टिफ़िकेट पर भरोसा है. इसके बाद, दूसरा चरण: सर्वर सर्टिफ़िकेट इंपोर्ट करना (इस पेज पर नीचे) पर जाएं.
- सर्टिफ़िकेट रद्द करने की जांच करने में गड़बड़ी हुई है–GCDS, सर्टिफ़िकेट रद्द करने की सूचियों की जांच कैसे करता है में दिया गया तरीका अपनाएं.
- अन्य गड़बड़ियां (उदाहरण के लिए, नेटवर्क से जुड़ी गड़बड़ियां)–GCDS से जुड़ी सामान्य समस्याएं हल करना पर जाएं.
सर्वर सर्टिफ़िकेट इंपोर्ट करना
इन चरणों का इस्तेमाल, LDAP सर्वर या एचटीटीपी प्रॉक्सी के लिए सर्टिफ़िकेट इंपोर्ट करने के लिए भी किया जा सकता है. ये सर्वर या प्रॉक्सी, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल करते हैं.
- डोमेन कंट्रोलर में साइन इन करें और कमांड प्रॉम्प्ट खोलें.
- डोमेन कंट्रोलर का सर्टिफ़िकेट एक्सपोर्ट करने के लिए, यह निर्देश डालें:
certutil -store My DomainController dccert.cer
- dccert.cer फ़ाइल को उस सर्वर पर कॉपी करें जहां GCDS इंस्टॉल किया गया है.
- एडमिन के तौर पर, कमांड प्रॉम्प्ट खोलें.
- GCDS Java Runtime Environment (JRE) का इंस्टॉलेशन फ़ोल्डर खोलने के लिए, यह कमांड डालें:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
अगर 64-बिट Windows सिस्टम पर GCDS का 32-बिट वर्शन चल रहा है, तो cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" का इस्तेमाल करें
- डोमेन कंट्रोलर का सर्टिफ़िकेट इंपोर्ट करने के लिए, यह निर्देश डालें:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
अगर आपको एक से ज़्यादा सर्टिफ़िकेट इंपोर्ट करने हैं, तो mydc की जगह किसी दूसरे एलियास का इस्तेमाल करके, इन चरणों को दोहराएं.
- सर्टिफ़िकेट पर भरोसा करने के लिए, Yes डालें.
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
- हर फ़ाइल में, यह जानकारी हटाएं:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTलाइनों को हटाने पर, GCDS, Windows सिस्टम स्टोर के बजाय lib/security/cacerts में मौजूद सर्टिफ़िकेट स्टोर का इस्तेमाल करता है.
- Configuration Manager खोलें. इसके बाद, LDAP कॉन्फ़िगरेशन पेज पर जाएं और कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको अब भी सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिख रही हैं, तो हो सकता है कि आपको अपने डोमेन कंट्रोलर सर्टिफ़िकेट के बजाय, अपने संगठन के सर्टिफ़िकेट अथॉरिटी (सीए) सर्टिफ़िकेट को इंपोर्ट करना पड़े. इसके लिए, इन चरणों को दोहराएं. हालांकि, CA सर्टिफ़िकेट को एक्सपोर्ट और इंपोर्ट करें.
Linux के लिए निर्देश
इन चरणों का इस्तेमाल, LDAP सर्वर या एचटीटीपी प्रॉक्सी के लिए सर्टिफ़िकेट इंपोर्ट करने के लिए भी किया जा सकता है. ये सर्वर या प्रॉक्सी, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल करते हैं.
- डोमेन कंट्रोलर में साइन इन करें और कमांड प्रॉम्प्ट खोलें.
- डोमेन सर्टिफ़िकेट का पता लगाने के लिए, यह निर्देश डालें:
certutil -store My DomainController dccert.cer
- dccert.cer फ़ाइल को उस सर्वर पर कॉपी करें जहां GCDS इंस्टॉल किया गया है.
- GCDS Java Runtime Environment (JRE) का इंस्टॉलेशन फ़ोल्डर खोलने के लिए, कमांड प्रॉम्प्ट खोलें और यह कमांड डालें:
cd ~/GoogleCloudDirSync/jre
- डोमेन कंट्रोलर का सर्टिफ़िकेट इंपोर्ट करने के लिए, यह निर्देश डालें:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
अगर आपको एक से ज़्यादा सर्टिफ़िकेट इंपोर्ट करने हैं, तो mydc की जगह किसी दूसरे एलियास का इस्तेमाल करके, इन चरणों को दोहराएं.
- सर्टिफ़िकेट पर भरोसा करने के लिए, Yes डालें.
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
आम तौर पर, इंस्टॉलेशन डायरेक्ट्री ~/GoogleCloudDirSync होती है.
- हर फ़ाइल में, यह जानकारी हटाएं:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTलाइनों को हटाने पर, GCDS, Windows सिस्टम स्टोर के बजाय lib/security/cacerts में मौजूद सर्टिफ़िकेट स्टोर का इस्तेमाल करता है.
- Configuration Manager खोलें. इसके बाद, LDAP कॉन्फ़िगरेशन पेज पर जाएं और कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको अब भी सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिख रही हैं, तो हो सकता है कि आपको अपने डोमेन कंट्रोलर सर्टिफ़िकेट के बजाय, अपने संगठन के सर्टिफ़िकेट अथॉरिटी (सीए) सर्टिफ़िकेट को इंपोर्ट करना पड़े. इसके लिए, इन चरणों को दोहराएं. हालांकि, इस बार सीए सर्टिफ़िकेट को एक्सपोर्ट और इंपोर्ट करें.
GCDS, सर्टिफ़िकेट रद्द करने की सूचियों की जांच कैसे करता है
GCDS को Google API (एचटीटीपीएस पर) और एसएसएल पर एलडीएपी से कनेक्ट करते समय, सिक्योर सॉकेट लेयर (एसएसएल) सर्टिफ़िकेट की पुष्टि करनी होती है. GCDS, सर्टिफ़िकेट देने वाली संस्थाओं से एचटीटीपी पर निरस्त किए गए सर्टिफ़िकेट की सूचियां (सीआरएल) वापस पाकर ऐसा करता है. कभी-कभी, ये पुष्टि करने की प्रोसेस पूरी नहीं हो पाती. ऐसा आम तौर पर, प्रॉक्सी या फ़ायरवॉल के एचटीटीपी अनुरोध को ब्लॉक करने की वजह से होता है.
पक्का करें कि GCDS सर्वर, एचटीटीपी (पोर्ट 80) पर इन यूआरएल को ऐक्सेस कर सकता हो:
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
मौजूदा सीआरएल के बारे में जानने के लिए, सीआरएल चेक पर जाएं. अगर आपको एसएसएल पर एलडीएपी के लिए अपने सर्टिफ़िकेट इस्तेमाल करने हैं, तो आपको अतिरिक्त यूआरएल की ज़रूरत पड़ सकती है.
अगर CRL ऐक्सेस करने की अनुमति नहीं दी जा सकती, तो CRL की जांच बंद की जा सकती है:
GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
इंस्टॉलेशन डायरेक्ट्री आम तौर पर C:\Program Files\Google Cloud Directory Sync (Windows) या ~/GoogleCloudDirSync (Linux) होती है.
फ़ाइलों में ये लाइनें जोड़ें:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
LDAP+SSL पर स्विच करने के बाद, सिंक करने की प्रोसेस धीमी हो जाती है
अगर आपने LDAP+SSL पर स्विच किया है और सिंक करने की प्रोसेस धीमी हो गई है, तो:
- Configuration Manager बंद करें.
GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
इंस्टॉलेशन डायरेक्ट्री आम तौर पर C:\Program Files\Google Cloud Directory Sync (Windows) या ~/GoogleCloudDirSync (Linux) होती है.
इन लाइनों को जोड़ने के लिए, फ़ाइलों में बदलाव करें:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simpleफ़ाइलें सेव करें और सिंक करने की प्रोसेस फिर से शुरू करें.
Microsoft ADV190023 अपडेट के बाद पुष्टि करना
अगर चैनल बाइंडिंग और LDAP हस्ताक्षर की सुविधा चालू करके Microsoft Active Directory का इस्तेमाल किया जा रहा है, तो आपको यह पक्का करने के लिए अतिरिक्त चरणों को पूरा करना होगा कि GCDS, SSL पर LDAP का इस्तेमाल करके पुष्टि करे. ऐसा न करने पर, GCDS, Active Directory से कनेक्ट नहीं होगा और सिंक करने की प्रोसेस पूरी नहीं हो पाएगी. अगर आपने पहले स्टैंडर्ड एलडीएपी ऑथेंटिकेशन का इस्तेमाल करके सिंक किया था, तब भी आपको यह तरीका अपनाना होगा. Microsoft की सलाह ADV190023 के बारे में ज़्यादा जानकारी के लिए, Microsoft के दस्तावेज़ देखें.
अगर पहले से ही LDAP over SSL का इस्तेमाल किया जा रहा है, तो आपको कुछ भी करने की ज़रूरत नहीं है.
पहला चरण: Active Directory में टीएलएस चालू करना
टीएलएस और एसएसएल टर्म का इस्तेमाल अक्सर एक-दूसरे की जगह पर किया जाता है.
Active Directory में टीएलएस चालू करने के लिए, Microsoft के ये लेख पढ़ें:
दूसरा चरण: पक्का करें कि सर्टिफ़िकेट भरोसेमंद हो
आपके डोमेन कंट्रोलर के सर्टिफ़िकेट पर हस्ताक्षर करने वाली सर्टिफ़िकेट अथॉरिटी (सीए) पर GCDS को भरोसा होना चाहिए. इंटरनेट पर काम करने वाले ज़्यादातर जाने-माने सीए भरोसेमंद होते हैं. जैसे, Verisign, Comodo, और Let's Encrypt. अगर आपने इन सीए का इस्तेमाल किया है, तो इस चरण को छोड़ा जा सकता है.
अगर आपके CA पर भरोसा नहीं किया जाता है या अगर आपने अपने रूट CA का इस्तेमाल किया है, तो सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करें में दिया गया तरीका अपनाएं.
तीसरा चरण: Configuration Manager सेट अप करना
- Configuration Manager खोलें और LDAP कॉन्फ़िगरेशन पेज पर जाएं.
- कनेक्शन टाइप सेटिंग के लिए, LDAP+SSL चुनें.
- पोर्ट सेटिंग के लिए, 636 (अगर आपने पहले 389 का इस्तेमाल किया था) या 3269 (अगर आपने पहले 3268 का इस्तेमाल किया था) डालें.
- कनेक्शन की जांच करें पर क्लिक करें.
Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.