Перестал работать iManager в NW6.5

[Sergant]

Собственно предистория следующая: дерево, в котором несколько серверов NW6.5SP6 и OES1 Linux. На одном из серверов сначала пропал доступ к стартовой странице: http://192.168.0.5/welcome/ Затем, после плановой перезагрузки этого сервера по причине замены UPS-а, перестал работать iManager (Service unavailable! Error 503). Между отсутствием доступа к стартовой странице и этой перезагрузкой iManager на данном сервере работал около пол-года. iManager-ы на друих серверах под NW и OES1 Linux сейчас работают без проблем. На проблемном сервере находится мастер-реплика и он является опекуном CA. На всех серверах iManager 2.6 со всеми последними фиксами и последними версиями плагиов. Набор пост-SP6 фикс на NW серверах одинаков.
При перезапуске tomcat-а в Logger Screen-e выдается:

tccheck: LDAP is not up yet; waiting
LDAP connectivity not found on ldap://localhost:636
Please load NLDAP and then manually execute command: sys:/tomcat/4/bin/startup stop
If your server host certificates have change recently, executing
sys:/system/tckeygen.ncf may be needed to restore secure LDAP
connectivity

Что можно предпринять ? Сертификаты на проблемном сервере пересоздавал, dsrepair проблем в дереве не находит...

[Владимир Горяев]

http://support.novell.com/docs/Tids/Sol ... 91686.html

[Sergant]

http://support.novell.com/docs/Tids/Solutions/10091686.html

Доступ через SSL не работает

[Al.mcne]

Load pkidiag.nlm on the server in order to recreate default server certificates.
Login as admin (full context, example: .admin.corp) and choose options 4, 5, 6, and 0.
If you are running Netware 6.5 and Tomcat 4.x, be sure run tckeygen.ncf at the server console before rebooting. Otherwise Tomcat may fail to load with the new certificates.
If rebooting the server is not an option, you might be able to start and stop Apache (ap2webdn) and Tomcat (tc4stop), then reload them after a few minutes (ap2webup tomcat4).

Apache for Netware will NOT load any longer
Technical Information Document 3209228

[Sergant]

Доступ через SSL заработал после того, как привел в соответствие autoexec.ncf на проблемном сервере по порядку загрузки модулей с нормально работающим.

Владимир Горяев

Последняя версия C1 под NW и вендой не умеет экспортить сертификаты, однако это может C1 под Linux-ом. Смущает только то, что размер такого публичного сертификата составляет 1251 байта вместо 1323 у имеющего сейчас.

Al.mcne

Сделал по этому TID-у, не помогло. Единственно, что не производил физическую перезагрузку, а передернул Apache и Tomcat.

[Boris Morozov]

Вы LDAP по SSL починили или нет? Пока не почините, не запустится.

[Иван Левшин aka Ivan L.]

Елки, старая как мир проблема прокисания самоподписанных сертификатов. Решается ровно так, как описал Al.mcne. Передергивать надо в т.ч. и NLDAP, и еще кучу модулей (тот же NRM с этими сертификатами работает). Самое простое - перегрузить сервер, если это невозможно, надо выяснять состав модулей, используемых приложениями, работающими с сертификатами. Порядок загрузки модулей практически не влияет на работоспособность NLDAP - если, конечно, не пытаться грузить его раньше TCPIP и сетевых ифейсов.

[Владимир Горяев]

Добавлю. С NLDAP проблемы бывают. Я в автоекзеке паузы разные ставлю и пр. А еще был случай (и вроде ТИД есть), пришлось в конце автоекзека прописывать unload nldap затем load nldap.

Последняя версия C1 под NW и вендой не умеет экспортить сертификаты, однако это может C1 под Linux-ом.

никто не запрещант пользовать более ранние версии C1 либо иМанагер (даже если на сервере не воркает, можно локальный, кот. Mobile, пользовать, только плагинов прикрутить), или даже nwadmin с соотв. снапинами.

[Sergant]

Boris Morozov

LDAP по SSL сейчас работает.

Иван Левшин aka Ivan L.

NLDAP естественно передергивал. Сервер физически получится перегрузить сегодня ближе к вечеру. Смущает одно но: NRM прекрасно работает. Не работает только iManager и стартовая страница.

ЗЫ: есть TID, но правда для NW65SP7 и iManager 2.7, где вообще рекомендуют начать с удаления CA:

http://www.novell.com/support/php/searc ... 2056446802

Страшно...

[Иван Левшин aka Ivan L.]

Алгоритм лечения обычно следующий:
1. Пущаем pkidiag - проводим диагностику. Обычно при истекших сертификатах Fixable problem found=2 (если все по дефолту)
2. Второй раз пущаем pkidiag, на этот раз уже в режиме "лечить все, что можно". Fixable problem found=2, Fixed problem=2
3. AP2WEBDN, ADMSRVDN, TC4STOP, UNLOAD NLDAP
4. TCKEYGEN - импортируем новые сертификаты в хранилище томката. Обязательно ждем в Logger screen сообщения о том, что все завершилось великолепно.
5. NLDAP - по логгеру дожидаемся сообщений, что все ОК, все загружено. Проверяем ldaps://<serverip>:636
6. TOMCAT4 - в логгере дожидаемся сообщений о том, что на порту 9009 и 9010 сели томкатные листенеры. В самом начале в логгере не должно быть ошибок доступа по LDAPS - если есть, что-то не так импортировалось, ищем правильный tckeygen. Хотя, в принципе, можно и ручками перенести - это немного сложнее.
7. ADMSRVUP, AP2WEBUP - собственно, финита.

[Sergant]

Алгоритм лечения обычно следующий:
1. Пущаем pkidiag - проводим диагностику. Обычно при истекших сертификатах Fixable problem found=2 (если все по дефолту)
2. Второй раз пущаем pkidiag, на этот раз уже в режиме "лечить все, что можно". Fixable problem found=2, Fixed problem=2
3. AP2WEBDN, ADMSRVDN, TC4STOP, UNLOAD NLDAP
4. TCKEYGEN - импортируем новые сертификаты в хранилище томката. Обязательно ждем в Logger screen сообщения о том, что все завершилось великолепно.
5. NLDAP - по логгеру дожидаемся сообщений, что все ОК, все загружено. Проверяем ldaps://<serverip>:636
6. TOMCAT4 - в логгере дожидаемся сообщений о том, что на порту 9009 и 9010 сели томкатные листенеры. В самом начале в логгере не должно быть ошибок доступа по LDAPS - если есть, что-то не так импортировалось, ищем правильный tckeygen. Хотя, в принципе, можно и ручками перенести - это немного сложнее.
7. ADMSRVUP, AP2WEBUP - собственно, финита.

1. Fixable problem found=0, Fixed problem=0
2. pkidiag с опциями 4,5,6: Fixable problem found=0, Fixed problem=2
3. Выгружаем.
4. Все ОК.
5. По логгеру ОК. По ldaps://<serverip>:636 получаем "The webpage cannot be displayed"

Tomcat при запуске в логгере:

Server does not support non-TLS binds
Consult NetWare documentation for details and workarounds
Tomcat will not start.
LDAP connectivity not found on ldap://localhost:636
Please load NLDAP and then manually execute command: sys:/tomcat/4/bin/startup

If your server host certificates have change recently, executing
sys:/system/tckeygen.ncf may be needed to restore secure LDAP
connectivity

Где берут правильные tckeygen ?

[Иван Левшин aka Ivan L.]

Кгхм...

Код: Выделить всё

Server does not support non-TLS binds
Consult NetWare documentation for details and workarounds
Tomcat will not start.

Коллега, научитесь читать логи Отключаем запрет на доступ к лдап с нешифрованными паролями в свойствах то ли LDAP Group, то ли LDAP Server - и передергиваем томкат.

[Sergant]

Кгхм...

Код: Выделить всё

Server does not support non-TLS binds
Consult NetWare documentation for details and workarounds
Tomcat will not start.

Коллега, научитесь читать логи Отключаем запрет на доступ к лдап с нешифрованными паролями в свойствах то ли LDAP Group, то ли LDAP Server - и передергиваем томкат.

Вот только где это отключить ? Самое смешное, что в iManager-e и C1 на первый взгляд все параметры для различных LDAP-серверов и LDAP-групп одинаковы. С их сравнения я и начал вчера эти мутаборства...

[Иван Левшин aka Ivan L.]

Написал же - в свойствах LDAP Server или LDAP Group в К1! Галочка там такая стоит - что-то навроде "Требовать пароль..." Снять, передернуть лдап, пробовать

[Владимир Горяев]

Снять галку, если есть.