Перестал работать iManager в NW6.5

[Sergant]

Владимир Горяев

Для всех серверов, включая проблемный, эта галка не стоит. На всякий случай сделал вкл/выкл с передергиванием - не помогло.

[Иван Левшин aka Ivan L.]

Проверить все еще раз внимательно, если нет - придется колупать СА.

[Sergant]

Проверить все еще раз внимательно, если нет - придется колупать СА.

Ближе к вечеру все внимательно повторю с перезагрузкой.
По поводу CA... Вот только что через iManager создал тестовый сертификат с использованием Organizational CA для проблемного сервера. Без проблем...

[Sergant]

Проделал все внимательно. Всплыла невозможность импорта сертификата в .keystore. Действовал по TID-у:

"http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=3234091&sliceId=1&docTypeID=DT_TID_1_1&dialogID=56626544&stateId=0 0 56630150"

создал новый корневой сертификат и т.д. Проблема незагрузки tomcat-а осталась. Согласно последнему абзацу заменил localhost на IP с запуском tckeygen - опять не помогло. Теперь уже ругается:

Server does not support non-TLS binds
Consult NetWare documentation for details and workarounds
Tomcat will not start.
LDAP connectivity not found on ldap://192.168.0.5:636
Please load NLDAP and then manually execute command: sys:/tomcat/4/bin/startup

Да что же это такое !
Имеет ли смысл сейчас накатывать SP7 ?

[Sergant]

Смущает то, что в логгере при запуске tckeygen выдается:

Trying to import Certificat 0 SubjectDN=CN="имя сервера", O="имя дерева"

На самом деле полный контекст сервера содержит еще и OU. Не в этом ли проблема ?

[Владимир Горяев]

Имеет ли смысл сейчас накатывать SP7 ?

Считаю не имеет. То что сейчас не работает оно не вылечит 99.9%, зато потом что-нибудь еще заглючит, на
http://wiki.novell.com/index.php/Nw65sp7
есть про баги. Хотя... с другой стороны, там новый иМанагер ставиться, вдруг полечит инсталятор. Лучше потихоньку разбираться с текущей проблемой, тем более пока рулить можно и из других мест.

Пару лет назад сам наступал на такие грабли. Тож поковыряться изрядно пришлось.

вот нашел в закладках (остальные куда-то затерял), мож поможет:
http://support.novell.com/cgi-bin/searc ... 090732.htm

[Boris Morozov]

LDAP connectivity not found on ldap://192.168.0.5:636

У вас ldap не работает. Его колупать надо, а не tomcat с imanager.
И все таки, что в TCPCON показывает по 636 порту. Есть он в LISTEN или нет?
А установка сервис пака вполне может починить. Но лечит такие штуки обычно переустановка EDIR.

[v13]

LDAP connectivity not found on ldap://localhost:636
Please load NLDAP

глупый вопрос, но всётаки спрошу, nldap.nlm загружен ?

[Sergant]

v13

nldap.nlm загружен.

Boris Morozov

636 порт присутствует. Может решить проблему установка eDir 8.7.3.10b ? Сейчас на всех серверах 8.7.3.9.

Если сделать:

DSTRACE.NLM
DSTRACE -ALL +LDAP
DSTRACE SCREEN ON FILE ON
Unload NLDAP and then load NLDAP
DSTRACE FILE OFF

то получим:

LDAP Agent for Novell eDirectory 8.7.3.9 (10555.40) stopped
NDS attribute "NSCP:memberCertificateDesc" does not exist, mapping ignored
NDS attribute "staticMember" does not exist, mapping ignored
LDAP Agent for Novell eDirectory 8.7.3.9 (10555.40) started

Про оба атрибута нашел, что это косметические ошибки.

Опять же, если действовать согласно приведенного выше TID-а, то:

SSL must work. An easy way to test that is to load the Remote Manager on port 8009. The address for this is https://ipaddressof server:8009. If you can get to that page you know that at least SSL CertificateIP is valid and working.

Second you will want to make sure that secure LDAP is working. An easy way to test this is to open a browser and type in the url https://ipaddressof server:636. Accept the security prompt and on the web page you will see something like this: "0$1.3.6.1.4.1.1466.20036". This means that you have a secure ldap port.

Оба эти условия на проблемном сервере выполняются.

[v13]

Смущает то, что в логгере при запуске tckeygen выдается:

Trying to import Certificat 0 SubjectDN=CN="имя сервера", O="имя дерева"

На самом деле полный контекст сервера содержит еще и OU. Не в этом ли проблема ?

у меня это выдаёт:
Exporting the Host certificate from:localhost
Trying to import Certificate 0 subjectDN=CN=10.1.1.4, O=TREE
Trying to import Certificate 1 subjectDN=O=TREE, OU=Organizational CA
java: Class com.novell.application.tomcat.util.EDirectoryIntegrator exited successfully
Хотя сервер лежит не в O=TREE

[v13]

Теперь уже ругается:
Server does not support non-TLS binds
Consult NetWare documentation for details and workarounds
Tomcat will not start.

В свойствах ldap сервера проверь:

Require TLS for all operations (можно галку убрать для теста)

Ports
Enable Encrypted Port (убедиться что стоит галка)
Port: 636
Enable Non-Encrypted Port (убедиться что стоит галка)
Port: 389

[Иван Левшин aka Ivan L.]

NDS attribute "NSCP:memberCertificateDesc" does not exist, mapping ignored
NDS attribute "staticMember" does not exist, mapping ignored

DSREPAIR->Advanced->Global replica and partition operations->Post Netware 5 schema update и рядом еще один Post. Выполнить оба. StaticMember точно в одном из пунктов есть.

DSTRACE FILE ON - очень рискуем остаться без свободного места на SYS

[Sergant]

v13

Действительно, у всех серверов в свойствах сертификатов в имени сервера отсутствует OU. Типа фича.

Для всех серверов у меня Require TLS for all operations галки нет. Я писал выше, что ее я передергивал. Для Enable ... Port галки стоят.

[Иван Левшин aka Ivan L.]

В каталоге SYS:\webapps\nps где-то внутри есть логи - глянь там. И - скачай LDAPBrowser (гуглится на раз) и проверь таки соединение LDAPS.

[v13]

У меня не получилось подключиться softerra ldapbrowser-ом по ldaps
кто виноват не знаю, но после установки галки "try to use secure connection" не коннектится никак.
сдесь:
http://forums.novell.com/novell-product ... r-ssl.html
советуют разные