В файле журнала Google Cloud Directory Sync (GCDS) могут отображаться следующие ошибки, связанные с сертификатами:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Выполните следующие действия, чтобы исправить эти ошибки.
На этой странице
- Исправлены ошибки, связанные с сертификатами.
- Как GCDS проверяет списки аннулированных сертификатов
- После переключения на LDAP+SSL синхронизация замедлилась.
- Обеспечьте аутентификацию после обновления Microsoft ADV190023.
Исправлены ошибки, связанные с сертификатами.
Пошаговые инструкции для Microsoft Windows
Обновите файл vmoption.
- Закрыть диспетчер конфигураций .
- В каталоге установки GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions .
Обычно каталог установки находится по адресу C:\Program Files\Google Cloud Directory Sync .
- Отредактируйте файлы, добавив следующие строки:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Перезапустите диспетчер конфигураций и перейдите на страницу конфигурации LDAP .
- В поле «Тип подключения» укажите LDAP+SSL .
- Для параметра «Порт» выберите один из следующих вариантов:
- Если вы ранее использовали 389 , укажите 636.
- Если вы ранее использовали 3268 , укажите 3269 .
- Нажмите «Проверить соединение» .
- Если вы получите:
- Ошибка сертификата. На компьютере, где запущен GCDS, убедитесь, что сертификат является доверенным для Windows. Затем перейдите к шагу 2: Импортируйте сертификат сервера (см. ниже на этой странице).
- Ошибка проверки отзыва сертификата — выполните действия, описанные в разделе «Как GCDS проверяет списки отзыва сертификатов» .
- Другие ошибки (например, ошибки сети) — перейдите в раздел «Устранение распространенных проблем GCDS» .
Импортируйте сертификат сервера
Эти шаги также можно использовать для импорта сертификатов для LDAP-серверов или HTTP-прокси, использующих самоподписанные сертификаты.
- Войдите в систему контроллера домена и откройте командную строку.
- Для экспорта сертификата контроллера домена введите следующую команду:
certutil -store My DomainController dccert.cer
- Скопируйте файл dccert.cer на сервер, где установлен GCDS.
- Откройте командную строку от имени администратора.
- Чтобы открыть папку установки среды выполнения Java (JRE) GCDS, введите следующую команду:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Если вы используете 32-битную версию GCDS, установленную на 64-битной системе Windows, перейдите в cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- Для импорта сертификата контроллера домена введите следующую команду:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Если вам необходимо импортировать более одного сертификата, повторите эти шаги, используя другой псевдоним вместо mydc .
- Введите «Да» , чтобы подтвердить доверие к сертификату.
- Закрыть диспетчер конфигураций .
- В каталоге установки GCDS, используя текстовый редактор, откройте файлы sync-cmd.vmoptions и config-manager.vmoptions .
- В каждом файле удалите:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTЕсли удалить эти строки, GCDS будет использовать хранилище сертификатов в lib/security/cacerts вместо системного хранилища Windows.
- Откройте Диспетчер конфигураций , перейдите на страницу «Конфигурация LDAP» и нажмите «Проверить соединения» .
- Если ошибки, связанные с сертификатами, по-прежнему возникают, возможно, вам потребуется импортировать сертификат центра сертификации (ЦС) вашей организации, а не сертификат контроллера домена. Для этого повторите эти шаги, но вместо сертификата ЦС экспортируйте и импортируйте именно его.
Шаги для Linux
Эти шаги также можно использовать для импорта сертификатов для LDAP-серверов или HTTP-прокси, использующих самоподписанные сертификаты.
- Войдите в систему контроллера домена и откройте командную строку.
- Чтобы найти сертификат домена, введите следующую команду:
certutil -store My DomainController dccert.cer
- Скопируйте файл dccert.cer на сервер, где установлен GCDS.
- Чтобы открыть папку установки среды выполнения Java (JRE) GCDS, откройте командную строку и введите следующую команду:
cd ~/GoogleCloudDirSync/jre
- Для импорта сертификата контроллера домена введите следующую команду:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Если вам необходимо импортировать более одного сертификата, повторите эти шаги, используя другой псевдоним вместо mydc .
- Введите «Да» , чтобы подтвердить доверие к сертификату.
- Закрыть диспетчер конфигураций .
- В каталоге установки GCDS, используя текстовый редактор, откройте файлы sync-cmd.vmoptions и config-manager.vmoptions .
Обычно каталог установки находится по адресу ~/GoogleCloudDirSync .
- В каждом файле удалите:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTЕсли удалить эти строки, GCDS будет использовать хранилище сертификатов в lib/security/cacerts вместо системного хранилища Windows.
- Откройте Диспетчер конфигураций , перейдите на страницу «Конфигурация LDAP» и нажмите «Проверить соединения» .
- Если ошибки, связанные с сертификатами, по-прежнему возникают, возможно, вам потребуется импортировать сертификат центра сертификации (ЦС) вашей организации, а не сертификат контроллера домена. Для этого повторите эти шаги, но вместо сертификата ЦС экспортируйте и импортируйте именно его.
Как GCDS проверяет списки аннулированных сертификатов
GCDS необходимо проверять сертификаты Secure Sockets Layer (SSL) при подключении к API Google (по HTTPS) и к LDAP по SSL. GCDS делает это, получая списки отзыва сертификатов (CRL) от центров сертификации по HTTP. Иногда эти проверки завершаются неудачей, обычно из-за блокировки HTTP-запроса прокси-сервером или брандмауэром.
Убедитесь, что сервер GCDS может получить доступ к следующим URL-адресам по протоколу HTTP (порт 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Подробную информацию о текущих списках отзыва сертификатов (CRL) см. в разделе «Проверка CRL» . Если вы используете собственные сертификаты для LDAP через SSL, могут потребоваться дополнительные URL-адреса.
Если вы не можете разрешить доступ к спискам отзыва сертификатов (CRL), вы можете отключить проверку CRL:
В каталоге установки GCDS откройте файлы
<code class="notranslate">sync-cmd.vmoptions</code>и<code class="notranslate">config-manager.vmoptions</code>с помощью текстового редактора.Обычно каталог установки находится по адресу
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) или<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Добавьте следующие строки в файлы:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
После переключения на LDAP+SSL синхронизация замедлилась.
Если вы перешли на LDAP+SSL и процесс синхронизации замедлился:
- Закрыть диспетчер конфигураций.
В каталоге установки GCDS откройте файлы
<code class="notranslate">sync-cmd.vmoptions</code>и<code class="notranslate">config-manager.vmoptions</code>с помощью текстового редактора.Обычно каталог установки находится по адресу
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) или<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Отредактируйте файлы, добавив следующие строки:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
Сохраните файлы и повторите синхронизацию.
Обеспечьте аутентификацию после обновления Microsoft ADV190023.
Если вы используете Microsoft Active Directory с включенной привязкой каналов и подписыванием LDAP, необходимо выполнить дополнительные действия, чтобы обеспечить аутентификацию GCDS с использованием LDAP через SSL. В противном случае GCDS не сможет подключиться к Active Directory, и синхронизация завершится с ошибкой. Эти действия необходимо выполнить, даже если ранее вы выполняли синхронизацию с использованием стандартной аутентификации LDAP. Подробную информацию о рекомендациях Microsoft ADV190023 см. в документации Microsoft.
Если вы уже успешно используете LDAP через SSL, вам не нужно предпринимать никаких дополнительных действий.
Шаг 1: Включите TLS в Active Directory.
Термины TLS и SSL часто используются как синонимы.
Чтобы включить TLS в Active Directory, ознакомьтесь с этими статьями Microsoft:
Шаг 2: Убедитесь, что сертификат является доверенным.
Центр сертификации (ЦС), подписавший сертификат вашего контроллера домена, должен быть доверенным для GCDS. Большинство известных интернет-ЦС, таких как Verisign, Comodo и Let's Encrypt, являются доверенными. Если вы используете эти ЦС, вы можете пропустить этот шаг.
Если ваш центр сертификации не является доверенным или если вы используете собственный корневой центр сертификации, выполните действия, описанные выше в разделе «Устранение ошибок, связанных с сертификатами» .Шаг 3: Настройка диспетчера конфигурации
- Откройте Диспетчер конфигураций и перейдите на страницу «Конфигурация LDAP» .
- В параметре «Тип подключения» укажите LDAP+SSL .
- Для параметра «Порт» укажите 636 (если ранее вы использовали 389) или 3269 (если ранее вы использовали 3268).
- Нажмите «Проверить соединение» .
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.