LDAP

[_Igor_]

В сети 2 сервера.
Main NW 6.0 SP 5
Inet NW 6.5 SP 5

Проблема в сервером Inet - отвалился LDAP.
Глюк вылез после смены дефолтового IP с внешнего (217.*.*.*) на внутренний (192.168.1.2) (Inetcfg)

В консоли Apache 2.0.54 (Inet) наблюдаем следующее:

Код: Выделить всё

11:00:52 LDAP initialization failed.                                     
    11:01:49 11:01:49 Configured LDAP was found ready to use.                   
    11:01:49 11:01:49 NIF CertHandler: Root certificate file for master ldap not
found, requesting a new one from server.                                       
    11:01:49 11:01:49 NIF CertHandler: # Root Certs=1.                         
    11:01:49 11:01:49 NIF CertHandler: Retrieved certificate of size=1328.     
    11:01:50 11:01:50 *MASTER[inet.local][-1] ldap_simple_bind : Can'
t contact LDAP server(81)                                                       
    11:01:50 11:01:50 ldap *MASTER[inet.local] down                 
    11:01:50 11:01:50 LDAP initialization failed. Check LDAP and restart apache.
                                                                               
    11:01:50 LDAP initialization failed.                                       
    11:02:47 11:02:47 Configured LDAP was found ready to use.                   
    11:02:47 11:02:47 NIF CertHandler: Root certificate file for master ldap not
found, requesting a new one from server.                                       
    11:02:47 11:02:47 NIF CertHandler: # Root Certs=1.                         
    11:02:47 11:02:47 NIF CertHandler: Retrieved certificate of size=1328.     
    11:02:47 11:02:47 *MASTER[inet.local][-1] ldap_simple_bind : Can'
t contact LDAP server(81)                                                       
    11:02:47 11:02:47 ldap *MASTER[inet.local] down                 
    11:02:47 11:02:47 LDAP initialization failed. Check LDAP and restart apache.
                                                                               
    11:02:47 LDAP initialization failed.   


Нашел следующие тиды:

Unable to load iFolder - TID10084700
PKIDIAG: ошибок - нет. На всякий случаай пересоздал сертификаты.
Пересоздавал объекты: LDAP SERVER, LDAP Group

iFolder startup error Can't contact LDAP server(81) - TID10070462
Копирование rootcert.der результата не дало.

How to reinstall LDAP services on the server running eDirectory 8.6.2 - TID10060250
В нем рекомендуют "Reinstall eDirectory", но это я думаю, это последняя мера...

Куда еще можно копнуть?

[Андрей Тр. aka RH]

Inet NW 6.5 SP 5

Глюк вылез после смены дефолтового IP с внешнего (217.*.*.*) на внутренний (192.168.1.2)

(Inetcfg)

Я немного не понял, у вас так и было два IP адреса на сервере ( 217* и 192* ), и сертификаты для них уже имелись, или вы сменили один на другой ? в inetcfg ?

P.S. Я думаю, можно будет решить без переустановки.

[_Igor_]

Да, было два IP адреса на сервере ( 217* и 192* ).
Сертификаты для них уже имелись...

[Павел Гарбар]

В апаче (в конфиг. файлах) найди к какому LDAP-серверу он стучался и какой сертификат при этом использовал.
Проверь, CertificateIP и -DNS на какой адрес и DNS-имя теперь ссылаются.
Проверь в LDAP сервере, какой он теперь использует сертификат
Ппроверь права объектов SAS, LDAP Server, LDAP Group (после пересоздания два последних не получают таких же прав, как при инсталляции сервера - надо рукаи доделать).

[Андрей Тр. aka RH]

Я бы еще покопал в сторону ТИДа по смене адреса на сервере 6.5 - там указано, как менять привязку Апача к адресу ( делается через веб-интерфейс ), что в данном случае, возможно, могло бы помочь. В принципе, если даже при полной смене адреса на сервере руками особо ничего править не нужно, и пересоздавать тоже, я думаю, и в данном случае можно как-то без этого обойтись.

[_Igor_]

В апаче (в конфиг. файлах) найди к какому LDAP-серверу он стучался и какой сертификат при этом использовал.

Стучится к LDAP сервер 192.168.1.2. Использует сертификат "SSL CertificateIP".
Где можно посмотреть на какой адрес и имя ссылается "CertificateIP"??? Если в pkidiag, то ссылается на 192.168.1.2, INET.

Проверь в LDAP сервере, какой он теперь использует сертификат

LDAP сервер использует сертификат "SSL CertificateIP".

Проверь права объектов SAS, LDAP Server, LDAP Group (после пересоздания два последних не получают таких же прав, как при инсталляции сервера - надо рукаи доделать).

Если имеються ввиду права LDAP Server и LDAP Group на сервер INET, то поставил (в С1 - LDAP Server (LDAP Group) NDS Rights, добавил сервер INET со всеми правами). В SAS сервер INET тоже есть...

[Андрей Тр. aka RH]

[Где можно посмотреть на какой адрес и имя ссылается "CertificateIP"??? Если в pkidiag, то ссылается на 192.168.1.2, INET.

В конфигах Апача, как уже сказали - там должна быть привязка к файлу сертификатов. То, о чем знает PKIDIAG, относится собсно к самим сертификатам.

Советую все же посмотреть : http://support.novell.com/cgi-bin/searc ... 088753.htm Конкретно - как выглядят у вас Апачи в Configuration summary.

[_Igor_]

В конфигах Апача, как уже сказали - там должна быть привязка к файлу сертификатов. То, о чем знает PKIDIAG, относится собсно к самим сертификатам.

Apache использует сертификат "SSL CertificateIP", который привязан к INET

Советую все же посмотреть : http://support.novell.com/cgi-bin/searc ... 088753.htm Конкретно - как выглядят у вас Апачи в Configuration summary.

Смотрел, но вот что получается:
при заходе на:
1. https://192.168.1.2:8009 "Firefox не может установить соединение с сервером 192.168.1.2:8009"
2. https://inet.local:8009 "Firefox не может найти сервер inet.local"

НО!!! при заходе на:
1. https://217.*.*.*:8009 (т.е. внешний айпи)
2. https://www:8009 (т.е. внешний айпи)
соединяется со следующим сообщением:
ОШИБКА СИСТЕМЫ БЕЗОПАСНОСТИ: несоответствие имени
Вы попытались установить соединение в "www."
Предъявленный сертификат принадлежит "192.168.1.2" ....

Где нужно исправить это несоответствие????

Configuration summary:

Код: Выделить всё

Application  Grouped by Application    IP Address   Port   Protocol    Status   Group by Status
Admin Tomcat    0.0.0.0   9005   TCP   VALID
Admin Tomcat    0.0.0.0   9009   TCP   VALID
Apache2.0    192.168.1.2   80   TCP   VALID
Apache2.0    192.168.1.2   443   TCP   VALID
ApacheAdmin    192.168.1.2   2211   TCP   VALID
ApacheAdmin    192.168.1.2   2200   TCP   VALID
FTP    217.*.*.*   21   TCP   VALID
HTTPSTK    Default IP    81   TCP   VALID
HTTPSTK    Default IP    8008   TCP   VALID
HTTPSTK    Default IP    8009   TCP   VALID
HTTPSTK    Default IP    4666   TCP   VALID
NFAU    Default IP    N/A   TCP   VALID
NLS Metering    0.0.0.0   21571   TCP   VALID
SSH    0.0.0.0   22   TCP   VALID
Tomcat 4    0.0.0.0   8005   TCP   VALID
Tomcat 4    0.0.0.0   9010   TCP   VALID

Как писалось ранее есть 2 сервера MAIN и INET.

На MAIN, на разных портах лежит:
1. Внутренний сайт
Listen 192.168.1.1:8085
<VirtualHost MAIN.local:8085>

2. Внешний сайт
Listen 192.168.1.1:8090
<VirtualHost MAIN.local:8090>

На севере INET в бордере включен HTTP Accelerator, который переадресует обращения с 217.*.*.*:80 на 192.168.1.1:8090

З.Ы. Сам запутался - дальше некуда....
Буду очень благодарен за помощь.

[Павел Гарбар]

[quote="_Igor_"]Где можно посмотреть на какой адрес и имя ссылается "CertificateIP"???[/quote]
А смотри в свойствах самого сертификата либо в NWAdmin'e либо в C1. Там написано.
А права вроде нормально дал.
Дальше по TID'ам смотри, как надо было менять адрес. Вэб-утилитой IP address management в NW 6.5 это вообще удобно делается.