Bạn có thể thấy các lỗi sau liên quan đến chứng chỉ trong tệp nhật ký Google Cloud Directory Sync (GCDS):
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Hãy làm theo các bước dưới đây để khắc phục những lỗi này.
Trên trang này
- Khắc phục lỗi liên quan đến chứng chỉ
- Cách GCDS kiểm tra danh sách thu hồi chứng chỉ
- Quá trình đồng bộ hoá diễn ra chậm sau khi chuyển sang LDAP+SSL
- Đảm bảo xác thực sau khi cập nhật Microsoft ADV190023
Khắc phục các lỗi liên quan đến chứng chỉ
Các bước dành cho Microsoft Windows
Cập nhật tệp vmoption
- Đóng Configuration Manager (Trình quản lý cấu hình).
- Trong thư mục cài đặt của GCDS, hãy mở các tệp sync-cmd.vmoptions và config-manager.vmoptions.
Thư mục cài đặt thường là C:\Program Files\Google Cloud Directory Sync.
- Chỉnh sửa các tệp để thêm các dòng sau:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Khởi động lại Configuration Manager rồi chuyển đến trang LDAP Configuration (Cấu hình LDAP).
- Đối với Loại kết nối, hãy chỉ định LDAP+SSL.
- Đối với Cổng, hãy chọn một cách:
- Nếu trước đây bạn đã sử dụng 389, hãy chỉ định 636
- Nếu trước đây bạn đã sử dụng 3268, hãy chỉ định 3269.
- Nhấp vào Kiểm tra kết nối.
- Nếu bạn nhận được:
- Lỗi chứng chỉ – Trên máy tính đang chạy GCDS, hãy đảm bảo rằng Windows tin tưởng chứng chỉ này. Sau đó, hãy chuyển sang Bước 2: Nhập chứng chỉ máy chủ (bên dưới trên trang này).
- Lỗi kiểm tra thu hồi chứng chỉ – Làm theo các bước trong bài viết Cách GCDS kiểm tra danh sách thu hồi chứng chỉ.
- Các lỗi khác (ví dụ: lỗi mạng) – Truy cập vào bài viết Khắc phục các vấn đề thường gặp về GCDS.
Nhập chứng chỉ máy chủ
Bạn cũng có thể sử dụng các bước này để nhập chứng chỉ cho máy chủ LDAP hoặc proxy HTTP sử dụng chứng chỉ tự ký.
- Đăng nhập vào bộ điều khiển miền rồi mở giao diện nhập dòng lệnh.
- Để xuất chứng chỉ bộ điều khiển miền, hãy nhập lệnh sau:
certutil -store My DomainController dccert.cer
- Sao chép tệp dccert.cer vào máy chủ đã cài đặt GCDS.
- Với tư cách là quản trị viên, hãy mở giao diện nhập dòng lệnh.
- Để mở thư mục cài đặt Môi trường thời gian chạy Java (JRE) của GCDS, hãy nhập lệnh sau:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Nếu bạn đang chạy phiên bản GCDS 32 bit được cài đặt trên hệ thống Windows 64 bit, hãy sử dụng cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- Để nhập chứng chỉ của bộ điều khiển miền, hãy nhập lệnh sau:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Nếu bạn cần nhập nhiều chứng chỉ, hãy lặp lại các bước này bằng cách sử dụng một bí danh khác thay cho mydc.
- Nhập Yes để tin tưởng chứng chỉ.
- Đóng Configuration Manager (Trình quản lý cấu hình).
- Trong thư mục cài đặt của GCDS, hãy mở các tệp sync-cmd.vmoptions và config-manager.vmoptions bằng trình chỉnh sửa văn bản.
- Trong mỗi tệp, hãy xoá:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTKhi bạn xoá các dòng này, GCDS sẽ sử dụng kho chứng chỉ trong lib/security/cacerts thay vì kho hệ thống Windows.
- Mở Trình quản lý cấu hình, chuyển đến trang Cấu hình LDAP rồi nhấp vào Kiểm tra kết nối.
- Nếu vẫn gặp lỗi liên quan đến chứng chỉ, bạn có thể cần nhập chứng chỉ Tổ chức cấp chứng chỉ (CA) của tổ chức thay vì chứng chỉ bộ điều khiển miền. Để thực hiện việc này, hãy lặp lại các bước này nhưng xuất và nhập chứng chỉ CA thay vào đó.
Các bước dành cho Linux
Bạn cũng có thể sử dụng các bước này để nhập chứng chỉ cho máy chủ LDAP hoặc proxy HTTP sử dụng chứng chỉ tự ký.
- Đăng nhập vào bộ điều khiển miền rồi mở giao diện nhập dòng lệnh.
- Để xác định vị trí chứng chỉ miền, hãy nhập lệnh sau:
certutil -store My DomainController dccert.cer
- Sao chép tệp dccert.cer vào máy chủ đã cài đặt GCDS.
- Để mở thư mục cài đặt Môi trường thời gian chạy Java (JRE) của GCDS, hãy mở một dấu nhắc lệnh rồi nhập lệnh sau:
cd ~/GoogleCloudDirSync/jre
- Để nhập chứng chỉ của bộ điều khiển miền, hãy nhập lệnh sau:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Nếu bạn cần nhập nhiều chứng chỉ, hãy lặp lại các bước này bằng cách sử dụng một bí danh khác thay cho mydc.
- Nhập Yes để tin tưởng chứng chỉ.
- Đóng Configuration Manager (Trình quản lý cấu hình).
- Trong thư mục cài đặt của GCDS, hãy mở các tệp sync-cmd.vmoptions và config-manager.vmoptions bằng trình chỉnh sửa văn bản.
Thư mục cài đặt thường là ~/GoogleCloudDirSync.
- Trong mỗi tệp, hãy xoá:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTKhi bạn xoá các dòng này, GCDS sẽ sử dụng kho chứng chỉ trong lib/security/cacerts thay vì kho hệ thống Windows.
- Mở Trình quản lý cấu hình, chuyển đến trang Cấu hình LDAP rồi nhấp vào Kiểm tra kết nối.
- Nếu vẫn gặp lỗi liên quan đến chứng chỉ, bạn có thể cần nhập chứng chỉ Tổ chức cấp chứng chỉ (CA) của tổ chức thay vì chứng chỉ bộ điều khiển miền. Để thực hiện việc này, hãy lặp lại các bước này nhưng xuất và nhập chứng chỉ CA thay vào đó.
Cách GCDS kiểm tra danh sách thu hồi chứng chỉ
GCDS cần xác thực chứng chỉ Lớp cổng bảo mật (SSL) khi kết nối với Google API (qua HTTPS) và với LDAP qua SSL. GCDS thực hiện việc này bằng cách truy xuất danh sách thu hồi chứng chỉ (CRL) từ các Tổ chức phát hành chứng chỉ qua HTTP. Đôi khi, các quy trình xác thực này không thành công, thường là do một proxy hoặc tường lửa chặn yêu cầu HTTP.
Đảm bảo rằng máy chủ GCDS có thể truy cập vào các URL sau qua HTTP (cổng 80):
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Để biết thông tin chi tiết về CRL hiện tại, hãy xem phần Kiểm tra CRL. Bạn có thể cần thêm URL nếu đang dùng chứng chỉ của riêng mình cho LDAP qua SSL.
Nếu không thể cho phép truy cập CRL, bạn có thể tắt tính năng kiểm tra CRL:
Trong thư mục cài đặt của GCDS, hãy mở tệp
<code class="notranslate">sync-cmd.vmoptions</code>và<code class="notranslate">config-manager.vmoptions</code>bằng trình chỉnh sửa văn bản.Thư mục cài đặt thường là
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) hoặc<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Thêm các dòng sau vào tệp:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
Quá trình đồng bộ hoá diễn ra chậm sau khi chuyển sang LDAP+SSL
Nếu bạn đã chuyển sang LDAP+SSL và quá trình đồng bộ hoá diễn ra chậm hơn:
- Đóng Configuration Manager.
Trong thư mục cài đặt của GCDS, hãy mở các tệp
<code class="notranslate">sync-cmd.vmoptions</code>và<code class="notranslate">config-manager.vmoptions</code>bằng trình chỉnh sửa văn bản.Thư mục cài đặt thường là
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) hoặc<code class="notranslate">~/GoogleCloudDirSync</code>(Linux).Chỉnh sửa các tệp để thêm các dòng sau:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
Lưu các tệp rồi thử đồng bộ hoá lại.
Đảm bảo xác thực sau khi cập nhật Microsoft ADV190023
Nếu đang sử dụng Microsoft Active Directory có bật tính năng liên kết kênh và ký LDAP, bạn phải thực hiện các bước bổ sung để đảm bảo GCDS xác thực bằng LDAP qua SSL. Nếu không, GCDS sẽ không kết nối với Active Directory và quá trình đồng bộ hoá sẽ không thành công. Bạn cần thực hiện các bước này ngay cả khi trước đây bạn đã chạy quy trình đồng bộ hoá bằng phương thức xác thực LDAP tiêu chuẩn. Để biết thông tin chi tiết về khuyến cáo ADV190023 của Microsoft, hãy xem tài liệu của Microsoft.
Nếu đang sử dụng thành công LDAP qua SSL, bạn không cần thực hiện bất kỳ bước nào.
Bước 1: Bật TLS trong Active Directory
Các thuật ngữ TLS và SSL thường được dùng thay thế cho nhau.
Để bật TLS trong Active Directory, hãy tham khảo các bài viết sau của Microsoft:
Bước 2: Đảm bảo rằng chứng chỉ được tin cậy
GCDS phải tin tưởng Tổ chức phát hành chứng chỉ (CA) đã ký chứng chỉ của bộ kiểm soát miền. Hầu hết các CA Internet nổi tiếng, chẳng hạn như Verisign, Comodo và Let's Encrypt đều được tin cậy. Nếu sử dụng các CA này, bạn có thể bỏ qua bước này.
Nếu CA của bạn không đáng tin cậy hoặc nếu bạn đang sử dụng CA gốc của riêng mình, hãy làm theo các bước ở trên trong phần Khắc phục lỗi liên quan đến chứng chỉ.Bước 3: Thiết lập Configuration Manager
- Mở Configuration Manager rồi chuyển đến trang Cấu hình LDAP.
- Đối với chế độ cài đặt Loại kết nối, hãy chỉ định LDAP+SSL.
- Đối với chế độ cài đặt Cổng, hãy chỉ định 636 (nếu trước đây bạn dùng 389) hoặc 3269 (nếu trước đây bạn dùng 3268).
- Nhấp vào Kiểm tra kết nối.
Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.