Hallo liebe Community, liebes Univention Team,
im Zuge meines Zeitserverproblems hab ich mal eine Systemdiagnose durchgeführt und bin auf den oben genannten kritischen Fehler gestoßen…
Allerdings wirft kein Browser einen Fehler und der sso login funktioniert auch problemlos.
Wo kann es hier klemmen und wie ist weiter zu verfahren?
Besten Dank und viele Grüße,
meg
Master or Backup/Slave?
Master…
Check this article - part SAML SSO and verify existing certificates are properly copied to the locations.
/KNEBB
root@ucs:~# eval "$(ucr shell domainname)"
root@ucs:~# diff "/etc/univention/ssl/ucs-sso.${domainname}/cert.pem" "/etc/simplesamlphp/ucs-sso.${domainname}-idp-certificate.crt"
root@ucs:~# diff "/etc/univention/ssl/ucs-sso.${domainname}/private.key" "/etc/simplesamlphp/ucs-sso.${domainname}-idp-certificate.key"
root@ucs:~#
other suggestions?
Auf dem Backup DC (welcher damals noch gar nicht existierte) kommt der Fehler übrigens nicht.
Im Gegensatz zu früher, wo es anscheinend wie hier beschrieben war, ist jetzt eine Anmeldung via SSO nicht mehr möglich und wird mit folgender Exception quittiert:
Traceback (most recent call last):
File "/usr/lib/python2.7/dist-packages/cherrypy/_cprequest.py", line 670, in respond
response.body = self.handler()
File "/usr/lib/python2.7/dist-packages/cherrypy/lib/encoding.py", line 217, in __call__
self.body = self.oldhandler(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/cherrypy/_cpdispatch.py", line 61, in __call__
return self.callable(*self.args, **self.kwargs)
File "/usr/sbin/univention-management-console-web-server", line 1213, in index
return acs(binding, message, relay_state)
File "/usr/sbin/univention-management-console-web-server", line 1221, in attribute_consuming_service
response = self.acs(message, binding)
File "/usr/sbin/univention-management-console-web-server", line 1341, in acs
response = self.sp.parse_authn_request_response(message, binding, self.outstanding_queries)
File "/usr/lib/python2.7/dist-packages/saml2/client_base.py", line 580, in parse_authn_request_response
binding, **kwargs)
File "/usr/lib/python2.7/dist-packages/saml2/entity.py", line 1087, in _parse_response
response = response.verify(keys)
File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 975, in verify
if self.parse_assertion(keys):
File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 895, in parse_assertion
if not self._assertion(assertion, False):
File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 780, in _assertion
if not self.condition_ok():
File "/usr/lib/python2.7/dist-packages/saml2/response.py", line 577, in condition_ok
validate_before(conditions.not_before, self.timeslack)
File "/usr/lib/python2.7/dist-packages/saml2/validate.py", line 97, in validate_before
raise Exception("Can't use it yet %d <= %d" % (nbefore, now))
Exception: Can't use it yet 1616760252 <= 1616760070
Welche dann in einer endlos Weiterleitung aufgeht.
Weitere Beobachtung, wenn man dann das Portal anruft und auf anmelden klickt, ändert sich der button in abmelden und man ist (ohne jeglichen Eingabedialog) angemeldet.
Version ist 4.4-7 936
Habe genau das gleiche Problem. Gibt es hier eine Lösung? Bei mir läuft UCS5.