Das Zertifikat des SAML Service Providers stimmt nicht überein

Hallo liebe Community, liebes Univention Team,

im Zuge meines Zeitserverproblems hab ich mal eine Systemdiagnose durchgeführt und bin auf den oben genannten kritischen Fehler gestoßen…

Allerdings wirft kein Browser einen Fehler und der sso login funktioniert auch problemlos.

Wo kann es hier klemmen und wie ist weiter zu verfahren?

Besten Dank und viele Grüße,
meg

Master or Backup/Slave?

Master…

Check this article - part SAML SSO and verify existing certificates are properly copied to the locations.

/KNEBB

root@ucs:~# eval "$(ucr shell domainname)"
root@ucs:~# diff "/etc/univention/ssl/ucs-sso.${domainname}/cert.pem" "/etc/simplesamlphp/ucs-sso.${domainname}-idp-certificate.crt"
root@ucs:~# diff "/etc/univention/ssl/ucs-sso.${domainname}/private.key" "/etc/simplesamlphp/ucs-sso.${domainname}-idp-certificate.key"
root@ucs:~# 

other suggestions?

Auf dem Backup DC (welcher damals noch gar nicht existierte) kommt der Fehler übrigens nicht.

Im Gegensatz zu früher, wo es anscheinend wie hier beschrieben war, ist jetzt eine Anmeldung via SSO nicht mehr möglich und wird mit folgender Exception quittiert:

Traceback (most recent call last):
  File "/usr/lib/python2.7/dist-packages/cherrypy/_cprequest.py", line 670, in respond
    response.body = self.handler()
  File "/usr/lib/python2.7/dist-packages/cherrypy/lib/encoding.py", line 217, in __call__
    self.body = self.oldhandler(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/cherrypy/_cpdispatch.py", line 61, in __call__
    return self.callable(*self.args, **self.kwargs)
  File "/usr/sbin/univention-management-console-web-server", line 1213, in index
    return acs(binding, message, relay_state)
  File "/usr/sbin/univention-management-console-web-server", line 1221, in attribute_consuming_service
    response = self.acs(message, binding)
  File "/usr/sbin/univention-management-console-web-server", line 1341, in acs
    response = self.sp.parse_authn_request_response(message, binding, self.outstanding_queries)
  File "/usr/lib/python2.7/dist-packages/saml2/client_base.py", line 580, in parse_authn_request_response
    binding, **kwargs)
  File "/usr/lib/python2.7/dist-packages/saml2/entity.py", line 1087, in _parse_response
    response = response.verify(keys)
  File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 975, in verify
    if self.parse_assertion(keys):
  File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 895, in parse_assertion
    if not self._assertion(assertion, False):
  File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 780, in _assertion
    if not self.condition_ok():
  File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 577, in condition_ok
    validate_before(conditions.not_before, self.timeslack)
  File "/usr/lib/python2.7/dist-packages/saml2/validate.py", line 97, in validate_before
    raise Exception("Can't use it yet %d <= %d" % (nbefore, now))
Exception: Can't use it yet 1616760252 <= 1616760070

Welche dann in einer endlos Weiterleitung aufgeht.

Weitere Beobachtung, wenn man dann das Portal anruft und auf anmelden klickt, ändert sich der button in abmelden und man ist (ohne jeglichen Eingabedialog) angemeldet.

Version ist 4.4-7 936

Habe genau das gleiche Problem. Gibt es hier eine Lösung? Bei mir läuft UCS5.

1 Like
Mastodon