Users Guide

Ocurre un error de inicio de sesión en Active Directory incluso si la validación de certificados está habilitada. Los
resultados de la prueba muestran el siguiente mensaje de error. ¿Por qué sucede esto y cómo se resuelve?
ERROR: Can't contact LDAP server, error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed: Please check the correct
Certificate Authority (CA) certificate has been uploaded to iDRAC. Please also check if
the iDRAC date is within the valid period of the certificates and if the Domain
Controller Address configured in iDRAC matches the subject of the Directory Server
Certificate.
Si se ha habilitado la validación de certificados, cuando la iDRAC establece la conexión SSL con el servidor de directorios, la
iDRAC utiliza el certificado de CA cargado para verificar el certificado de servidor de directorios. Los motivos más comunes de
error en esta validación son los siguientes:
La fecha de la iDRAC no se encuentra dentro del período de validez del certificado del servidor o de CA. Compruebe la hora
de la iDRAC y el período de validez del certificado.
Las direcciones de la controladora de dominio configuradas en la iDRAC no coinciden con el asunto o el nombre alternativo
del asunto del certificado de servidor de directorios. Si utiliza una dirección IP, lea la siguiente pregunta. Si utiliza FQDN,
asegúrese de utilizar el FQDN de la controladora de dominio, y no el dominio. Por ejemplo, nombredeservidor.ejemplo.com
en lugar de ejemplo.com.
Ocurre un error durante la validación de certificados incluso si la dirección IP se utiliza como dirección de la
controladora de dominio. ¿Cómo se resuelve este problema?
Compruebe el campo Subject (Asunto) o Subject Alternative Name (Nombre alternativo del asunto) del certificado de la
controladora de dominio. Normalmente, Active Directory utiliza el nombre de host y no la dirección IP de la controladora de
dominio en el campo de asunto o de nombre alternativo del asunto del certificado de la controladora de dominio. Para solucionar
esto, realice cualquiera de las siguientes acciones:
Configure el nombre del host (FQDN) de la controladora de dominio como las direcciones de controladora de dominio en
iDRAC para que coincidan con el Asunto o el Nombre alternativo del asunto del certificado del servidor.
Vuelva a emitir el certificado del servidor de modo que use una dirección IP en el campo Asunto o Nombre alternativo del
asunto y que coincida con la dirección IP configurada en iDRAC.
Desactive la validación de certificados si prefiere confiar en esta controladora de dominio sin validación de certificados
durante el protocolo de enlace SSL.
¿Cómo se configuran las direcciones de controladora de dominio cuando se utiliza el esquema extendido en un
entorno de varios dominios?
Debe usar el nombre del host (FQDN) o la dirección IP de las controladoras de dominio que sirven al dominio donde reside el
objeto iDRAC.
¿Cuándo deben configurarse las direcciones del catálogo global?
Si es utilizando un esquema estándar y los usuarios y grupos de roles se encuentran en dominios diferentes, son necesarias las
direcciones de catálogo global. En este caso, solo puede utilizar el grupo universal.
Si es utilizando un esquema estándar y todos los usuarios y grupos de roles se encuentran en el mismo dominio, no son
necesarias las direcciones de catálogo global.
Si utiliza un esquema extendido, no se utiliza la dirección de catálogo global.
¿Cómo funciona la consulta del esquema estándar?
La iDRAC se conecta primero a las direcciones de la controladora de dominio configuradas. Si el usuario y los grupos de roles
están en el dominio, se guardarán los privilegios.
Si esn configuradas las direcciones de la controladora global, la iDRAC seguirá consultando el catálogo global. Si se recuperan
privilegios adicionales desde el catálogo global, estos privilegios se acumulan.
¿iDRAC siempre usa LDAP a través de SSL?
Sí. Todo el transporte se realiza a través del puerto seguro 636 o 3269. Durante la configuración de la prueba, la iDRAC realiza
una conexión LDAP solamente para aislar el problema, pero no realiza un enlace LDAP en una conexión no segura.
¿Por qué iDRAC activa la validación de certificados de manera predeterminada?
La iDRAC aplica un nivel sólido de seguridad para garantizar la identidad de la controladora de dominio a la que se conecta. Sin la
validación de certificados, un pirata informático puede suplantar una controladora de dominio y tomar el control de la conexión
SSL. Si opta por confiar en todas las controladoras de dominio en el límite de seguridad sin activar la validación de certificados,
puede deshabilitar esta opción en la interfaz web o RACADM.
¿Admite iDRAC el nombre NetBIOS?
No en esta versión.
320
Preguntas frecuentes