W pliku dziennika Google Cloud Directory Sync (GCDS) mogą pojawić się następujące błędy związane z certyfikatami:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Aby naprawić te błędy, wykonaj opisane niżej czynności.
Na tej stronie
- Naprawianie błędów związanych z certyfikatami
- Jak GCDS sprawdza listy odwołanych certyfikatów
- Synchronizacja działa powoli po przejściu na LDAP i SSL
- Konfigurowanie uwierzytelniania po opublikowaniu porady Microsoft ADV190023
Naprawianie błędów związanych z certyfikatami
Czynności do wykonania w systemie Microsoft Windows
Aktualizowanie pliku vmoption
- Zamknij Menedżera konfiguracji.
- W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions.
Katalog instalacyjny to zwykle C:\Program Files\Google Cloud Directory Sync.
- Dodaj do nich następujące wiersze:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Uruchom ponownie Menedżera konfiguracji i przejdź na stronę LDAP Configuration (Konfiguracja LDAP).
- W polu Connection type (Typ połączenia) podaj LDAP+SSL.
- W polu Port wybierz opcję:
- Jeśli wcześniej był używany numer 389, podaj 636.
- Jeśli wcześniej był używany numer 3268, podaj 3269.
- Kliknij Test connection (Testuj połączenie).
- Jeśli pojawi się:
- Błąd certyfikatu – na komputerze, na którym działa GCDS, upewnij się, że certyfikat jest zaufany w systemie Windows. Następnie przejdź do Kroku 2. Zaimportuj certyfikat serwera (poniżej).
- Błąd sprawdzania odwołanych certyfikatów – wykonaj czynności opisane w artykule Jak GCDS sprawdza listy odwołanych certyfikatów.
- Inne błędy (np. błędy sieci) – przeczytaj artykuł Rozwiązywanie typowych problemów z GCDS.
Importowanie certyfikatu serwera
Możesz też wykonać te czynności, aby zaimportować certyfikaty serwerów LDAP lub serwerów proxy HTTP, które używają certyfikatów podpisanych samodzielnie.
- Zaloguj się w kontrolerze domeny i otwórz wiersz polecenia.
- Aby wyeksportować certyfikat kontrolera domeny, wpisz to polecenie:
certutil -store My DomainController dccert.cer
- Skopiuj plik dccert.cer na serwer, na którym zainstalowano GCDS.
- Jako administrator otwórz wiersz polecenia.
- Aby otworzyć folder instalacyjny Java Runtime Environment (JRE) GCDS, wpisz to polecenie:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Jeśli korzystasz z 32-bitowej wersji GCDS zainstalowanej w 64-bitowym systemie Windows, użyj cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".
- Aby zaimportować certyfikat kontrolera domeny, wpisz to polecenie:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Jeśli musisz zaimportować więcej niż jeden certyfikat, powtórz te czynności, ale użyj innego aliasu zamiast mydc.
- Wpisz Tak, aby uznać certyfikat za zaufany.
- Zamknij Menedżera konfiguracji.
- W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions w edytorze tekstu.
- Z każdego z tych plików usuń te wiersze:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTGdy usuniesz wiersze, GCDS będzie używać magazynu certyfikatów lib/security/cacerts zamiast magazynu certyfikatów systemu Windows.
- Otwórz Menedżera konfiguracji, przejdź na stronę LDAP Configuration (Konfiguracja LDAP) i kliknij Test Connections (Testuj połączenia).
- Jeśli nadal pojawiają się błędy związane z certyfikatem, może być konieczne zaimportowanie certyfikatu urzędu certyfikacji organizacji zamiast certyfikatu kontrolera domeny. W tym celu powtórz te czynności, ale wyeksportuj i zaimportuj certyfikat CA.
Instrukcje dotyczące systemu Linux
Możesz też wykonać te czynności, aby zaimportować certyfikaty serwerów LDAP lub serwerów proxy HTTP, które używają certyfikatów podpisanych samodzielnie.
- Zaloguj się w kontrolerze domeny i otwórz wiersz polecenia.
- Aby znaleźć certyfikat domeny, wpisz to polecenie:
certutil -store My DomainController dccert.cer
- Skopiuj plik dccert.cer na serwer, na którym zainstalowano GCDS.
- Aby otworzyć folder instalacyjny Java Runtime Environment (JRE) GCDS, otwórz wiersz polecenia i wpisz to polecenie:
cd ~/GoogleCloudDirSync/jre
- Aby zaimportować certyfikat kontrolera domeny, wpisz to polecenie:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Jeśli musisz zaimportować więcej niż jeden certyfikat, powtórz te czynności, ale użyj innego aliasu zamiast mydc.
- Wpisz Tak, aby uznać certyfikat za zaufany.
- Zamknij Menedżera konfiguracji.
- W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions w edytorze tekstu.
Katalog instalacyjny to zwykle ~/GoogleCloudDirSync.
- Z każdego z tych plików usuń te wiersze:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTGdy usuniesz wiersze, GCDS będzie używać magazynu certyfikatów lib/security/cacerts zamiast magazynu certyfikatów systemu Windows.
- Otwórz Menedżera konfiguracji, przejdź na stronę LDAP Configuration (Konfiguracja LDAP) i kliknij Test Connections (Testuj połączenia).
- Jeśli nadal pojawiają się błędy związane z certyfikatem, może być konieczne zaimportowanie certyfikatu urzędu certyfikacji organizacji zamiast certyfikatu kontrolera domeny. W tym celu powtórz te czynności, ale wyeksportuj i zaimportuj certyfikat CA.
Jak GCDS sprawdza listy odwołanych certyfikatów
GCDS musi zweryfikować certyfikaty protokołu SSL podczas nawiązywania połączenia z interfejsami API Google (przez HTTPS) oraz serwerem LDAP przez protokół SSL. W tym celu GCDS pobiera przez HTTP listy odwołanych certyfikatów (CRL) z urzędów certyfikacji. Weryfikacje czasami się nie udają. Zwykle przyczyną jest blokada żądań HTTP przez serwer proxy lub zaporę sieciową.
Upewnij się, że serwer GCDS może uzyskać dostęp do tych adresów URL przez HTTP (port 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Więcej informacji o aktualnych listach odwołanych certyfikatów (CRL) znajdziesz w sekcji Test CRL. Dodatkowe adresy URL mogą być potrzebne, jeśli używasz własnych certyfikatów do łączenia się z serwerem LDAP przez SSL.
Jeśli nie możesz zezwolić na dostęp do list CRL, możesz wyłączyć sprawdzanie list CRL:
W katalogu instalacyjnym GCDS otwórz pliki
<code class="notranslate">sync-cmd.vmoptions</code>i<code class="notranslate">config-manager.vmoptions</code>w edytorze tekstu.Katalog instalacyjny to zwykle
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) lub<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Dodaj do tych plików te wiersze:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
Synchronizacja działa powoli po przejściu na LDAP i SSL
Jeśli po przejściu na LDAP i SSL synchronizacja działa powoli:
- Zamknij Menedżera konfiguracji.
W katalogu instalacyjnym GCDS otwórz pliki
<code class="notranslate">sync-cmd.vmoptions</code>i<code class="notranslate">config-manager.vmoptions</code>w edytorze tekstu.Katalog instalacyjny to zwykle
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) lub<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Dodaj do nich następujące wiersze:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
Zapisz pliki i spróbuj ponownie przeprowadzić synchronizację.
Konfigurowanie uwierzytelniania po opublikowaniu porady Microsoft ADV190023
Jeśli używasz Microsoft Active Directory z włączonym wiązaniem kanałów i podpisywaniem LDAP, musisz wykonać dodatkowe czynności, aby narzędzie GCDS stosowało uwierzytelnianie LDAP przez SSL. W przeciwnym razie GCDS nie połączy się z Active Directory, a to spowoduje niepowodzenie synchronizacji. Musisz wykonać te czynności nawet wtedy, gdy wcześniej synchronizacja była uruchamiana przy użyciu standardowego uwierzytelniania LDAP. Więcej informacji na temat porady Microsoft ADV190023 znajdziesz w dokumentacji firmy Microsoft.
Jeśli już korzystasz z uwierzytelniania LDAP przez SSL, nie musisz wykonywać żadnych czynności.
Krok 1. Włącz TLS w Active Directory
Terminy TLS i SSL są często używane zamiennie.
Aby włączyć TLS w Active Directory, zapoznaj się z tymi artykułami firmy Microsoft:
- Enable LDAP over SSL with a third-party certification authority
- Creating Custom Secure LDAP Certificates for Domain Controllers with Auto Renewal (Tworzenie niestandardowych bezpiecznych certyfikatów LDAP dla kontrolerów domeny z automatycznym odnawianiem)
- Rozwiązywanie problemów z LDAP przez połączenie SSL
Krok 2. Zastosuj zaufany certyfikat
Urząd certyfikacji, który podpisał certyfikat kontrolera domeny, musi być uznawany za zaufany przez GCDS. Większość znanych internetowych urzędów certyfikacji (np. Verisign, Comodo czy Let's Encrypt) jest uznawanych za zaufane. Jeśli używasz tych urzędów certyfikacji, możesz pominąć ten krok.
Jeśli używasz niezaufanego urzędu certyfikacji lub własnego głównego urzędu certyfikacji, wykonaj czynności opisane w artykule Rozwiązywanie problemów z certyfikatami.Krok 3. Skonfiguruj Menedżera konfiguracji
- Otwórz Menedżera konfiguracji i przejdź na stronę LDAP Configuration (Konfiguracja LDAP).
- W przypadku ustawienia Connection type (Typ połączenia) podaj LDAP+SSL.
- W przypadku ustawienia Port podaj 636 (jeśli wcześniej był używany numer 389) lub 3269 (jeśli wcześniej był używany numer 3268).
- Kliknij Test connection (Testuj połączenie).
Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.