В файле журнала Google Cloud Directory Sync (GCDS) могут быть обнаружены следующие ошибки, связанные с сертификатами:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Чтобы исправить эти ошибки, выполните следующие действия.
На этой странице
- Исправление ошибок, связанных с сертификатами
- Как GCDS проверяет списки отозванных сертификатов
- Синхронизация медленная после переключения на LDAP+SSL
- Обеспечьте аутентификацию после обновления Microsoft ADV190023
Исправление ошибок, связанных с сертификатами
Шаги для Microsoft Windows
Обновите файл vmoption
- Закройте диспетчер конфигураций .
- В установочном каталоге GCDS откройте файлы sync-cmd.vmoptions и config-manager.vmoptions .
Каталог установки обычно — C:\Program Files\Google Cloud Directory Sync .
- Отредактируйте файлы, добавив следующие строки:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Перезапустите Configuration Manager и перейдите на страницу конфигурации LDAP .
- В поле «Тип подключения» укажите LDAP+SSL .
- Для порта выберите вариант:
- Если вы ранее использовали 389 , укажите 636
- Если ранее вы использовали 3268 , укажите 3269 .
- Нажмите Проверить соединение .
- Если вы получаете:
- Ошибка сертификата. Убедитесь, что на компьютере, где запущен GCDS, сертификат является доверенным для Windows. Затем перейдите к Шагу 2: Импортируйте сертификат сервера (см. ниже на этой странице).
- Ошибка проверки отзыва сертификата — следуйте инструкциям в разделе Как GCDS проверяет списки отзыва сертификатов .
- Другие ошибки (например, сетевые ошибки) — перейдите в раздел Устранение распространенных проблем GCDS .
Импортируйте сертификат сервера
Эти шаги также можно использовать для импорта сертификатов для серверов LDAP или HTTP-прокси, использующих самоподписанные сертификаты.
- Войдите в контроллер домена и откройте командную строку.
- Чтобы экспортировать сертификат контроллера домена, введите следующую команду:
certutil -store My DomainController dccert.cer
- Скопируйте файл dccert.cer на сервер, где установлен GCDS.
- Откройте командную строку от имени администратора.
- Чтобы открыть папку установки GCDS Java Runtime Environment (JRE), введите следующую команду:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Если вы используете 32-разрядную версию GCDS, установленную в 64-разрядной системе Windows, используйте cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- Чтобы импортировать сертификат контроллера домена, введите следующую команду:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Если вам нужно импортировать более одного сертификата, повторите эти шаги, используя другой псевдоним вместо mydc .
- Введите Да , чтобы доверять сертификату.
- Закройте диспетчер конфигураций .
- В каталоге установки GCDS с помощью текстового редактора откройте файлы sync-cmd.vmoptions и config-manager.vmoptions .
- В каждом файле удалите:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTПри удалении строк GCDS использует хранилище сертификатов в lib/security/cacerts вместо системного хранилища Windows.
- Откройте диспетчер конфигураций , перейдите на страницу конфигурации LDAP и нажмите кнопку Проверить соединения .
- Если ошибки, связанные с сертификатами, по-прежнему возникают, возможно, вам потребуется импортировать сертификат центра сертификации (ЦС) вашей организации, а не сертификат контроллера домена. Для этого повторите эти шаги, но вместо этого экспортируйте и импортируйте сертификат ЦС.
Шаги для Linux
Эти шаги также можно использовать для импорта сертификатов для серверов LDAP или HTTP-прокси, использующих самоподписанные сертификаты.
- Войдите в контроллер домена и откройте командную строку.
- Чтобы найти сертификат домена, введите следующую команду:
certutil -store My DomainController dccert.cer
- Скопируйте файл dccert.cer на сервер, где установлен GCDS.
- Чтобы открыть папку установки GCDS Java Runtime Environment (JRE), откройте командную строку и введите следующую команду:
cd ~/GoogleCloudDirSync/jre
- Чтобы импортировать сертификат контроллера домена, введите следующую команду:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Если вам нужно импортировать более одного сертификата, повторите эти шаги, используя другой псевдоним вместо mydc .
- Введите Да , чтобы доверять сертификату.
- Закройте диспетчер конфигураций .
- В каталоге установки GCDS с помощью текстового редактора откройте файлы sync-cmd.vmoptions и config-manager.vmoptions .
Каталог установки обычно ~/GoogleCloudDirSync .
- В каждом файле удалите:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTПри удалении строк GCDS использует хранилище сертификатов в lib/security/cacerts вместо системного хранилища Windows.
- Откройте диспетчер конфигураций , перейдите на страницу конфигурации LDAP и нажмите кнопку Проверить соединения .
- Если ошибки, связанные с сертификатами, по-прежнему возникают, возможно, вам потребуется импортировать сертификат центра сертификации (ЦС) вашей организации, а не сертификат контроллера домена. Для этого повторите эти шаги, но вместо этого экспортируйте и импортируйте сертификат ЦС.
Как GCDS проверяет списки отозванных сертификатов
GCDS необходимо проверять сертификаты Secure Sockets Layer (SSL) при подключении к API Google (по HTTPS) и к LDAP по SSL. GCDS делает это, получая списки отзыва сертификатов (CRL) от центров сертификации по протоколу HTTP. Иногда эти проверки завершаются неудачей, обычно из-за блокировки HTTP-запроса прокси-сервером или брандмауэром.
Убедитесь, что сервер GCDS может получить доступ к следующим URL-адресам по протоколу HTTP (порт 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Подробную информацию о текущих списках отзыва сертификатов см. на странице «Проверка списка отзыва сертификатов» . Если вы используете собственные сертификаты для LDAP через SSL, могут потребоваться дополнительные URL-адреса.
Если вы не можете разрешить доступ к CRL, вы можете отключить проверки CRL:
В каталоге установки GCDS откройте файлы
<code class="notranslate">sync-cmd.vmoptions</code>и<code class="notranslate">config-manager.vmoptions</code>с помощью текстового редактора.Каталог установки обычно —
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) или<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Добавьте эти строки в файлы:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
Синхронизация медленная после переключения на LDAP+SSL
Если вы перешли на LDAP+SSL и процесс синхронизации замедлился:
- Закройте диспетчер конфигураций.
В каталоге установки GCDS откройте файлы
<code class="notranslate">sync-cmd.vmoptions</code>и<code class="notranslate">config-manager.vmoptions</code>с помощью текстового редактора.Каталог установки обычно —
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) или<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Отредактируйте файлы, добавив следующие строки:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
Сохраните файлы и повторите попытку синхронизации.
Обеспечьте аутентификацию после обновления Microsoft ADV190023
Если вы используете Microsoft Active Directory с включенной привязкой каналов и подписыванием LDAP, необходимо предпринять дополнительные шаги для обеспечения аутентификации GCDS с использованием LDAP через SSL. В противном случае GCDS не подключится к Active Directory, и синхронизация завершится сбоем. Эти шаги необходимо выполнить, даже если ранее вы выполняли синхронизацию с использованием стандартной аутентификации LDAP. Подробную информацию о рекомендации Microsoft ADV190023 см. в документации Microsoft.
Если вы уже успешно используете LDAP через SSL, вам не нужно предпринимать никаких действий.
Шаг 1: Включите TLS в Active Directory
Термины TLS и SSL часто используются как взаимозаменяемые.
Чтобы включить TLS в Active Directory, ознакомьтесь со следующими статьями Microsoft:
Шаг 2: Убедитесь, что сертификат является доверенным
Центр сертификации (ЦС), подписавший сертификат вашего контроллера домена, должен быть доверенным для GCDS. Большинство известных интернет-ЦС, таких как Verisign, Comodo и Let's Encrypt, являются доверенными. Если вы используете эти ЦС, этот шаг можно пропустить.
Если ваш центр сертификации не является доверенным или вы используете собственный корневой центр сертификации, выполните действия, описанные выше в разделе Исправление ошибок, связанных с сертификатами .Шаг 3: Настройка диспетчера конфигураций
- Откройте диспетчер конфигураций и перейдите на страницу конфигурации LDAP .
- В качестве типа подключения укажите LDAP+SSL .
- В качестве параметра «Порт» укажите 636 (если ранее вы использовали 389) или 3269 (если ранее вы использовали 3268).
- Нажмите Проверить соединение .
Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.