Fehler nach Update UCS 4.1 auf 4.2 SAML Service

Hallo zusammen,

ich habe nach dem Update des UCS 4.1 auf 4.2 das Problem, das ich mich nicht mehr sauber anmelden kann. Bei meiner Recherche durch das System bin ich drauf gekommen, das ich vermutlich Probleme mit dem univention-saml-service habe. Folgende Zeilen finde ich in meinem Log:

root@kedc01:~# systemctl restart univention-saml.service
root@kedc01:~# systemctl status univention-saml.service
● univention-saml.service - LSB: Univention Security Assertion Markup Language integration
   Loaded: loaded (/etc/init.d/univention-saml)
   Active: active (running) since Do 2017-04-06 12:43:34 CEST; 1s ago
  Process: 14734 ExecStop=/etc/init.d/univention-saml stop (code=exited, status=0/SUCCESS)
  Process: 14768 ExecStart=/etc/init.d/univention-saml start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/univention-saml.service
           ├─14782 /usr/bin/memcached -m 64 -s /var/run/univention-saml/memcached.socket -u samlcgi
           └─14803 /usr/bin/stunnel4 /etc/stunnel/univention_saml.conf

Apr 06 12:43:33 kedc01 univention-saml[14768]: Starting Univention Security Assertion Markup Language integration: univention-samlStarting memcached: memcached_univention_saml.
Apr 06 12:43:33 kedc01 univention-saml[14768]: Starting SSL tunnels: /etc/stunnel/univention_saml.conf: started
Apr 06 12:43:34 kedc01 univention-saml-stunnel[14803]: LOG3[0]: SSL_accept: 14094418: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
Apr 06 12:43:34 kedc01 univention-saml[14768]: .
Apr 06 12:43:34 kedc01 systemd[1]: Started LSB: Univention Security Assertion Markup Language integration.
Apr 06 12:43:35 kedc01 univention-saml-stunnel[14803]: LOG3[1]: SSL_accept: 14094418: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
Apr 06 12:43:35 kedc01 univention-saml-stunnel[14803]: LOG3[2]: SSL_accept: 14094418: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca

Ich vermute hier die Ursache gefunden zu haben. Allerdings habe ich im Moment noch nicht so die richtige Idee, wie ich das lösen kann.

Meine Domain besteht aktuell aus 2 UCS 4.2 Servern kedc01 und kedc02. Auf beiden kann ich mich nicht anmelden. Es kommt der folgende Fehler:

— >B —
Interner Server-Fehler: Der Dienst ist momentan nicht erreichbar!
The Univention Management Console Server is currently not running.
If you have root permissions on the system you can restart it by executing the following command:

  • service univention-management-console-server restart
    The following logfile may contain information why the server is not running:
  • /var/log/univention/management-console-server.log
    Otherwise please contact an administrator or try again later.
    — >B —

Den Restart hab ich bereits mehrfach versucht. Ein Blick ins angegebene Log bringt auch nicht zu tage. Nur der oben angegebene Fehler.

Hat jemand ne Idee?

Robert

Ich meine wir hatten das schon mal hier im Forum, da hatte es geholfen, die komplette Zertifikatskette zu erneuern. Haben Sie das schon gemacht?

http://sdb.univention.de/1187

Es kann aber auch schon reichen, den ucs-sso host-Eintrag zu löschen.

udm dns/host_record remove --superordinate zoneName=univention.test,cn=dns,dc=univention,dc=test --dn relativeDomainName=ucs-sso,zoneName=univention.test,cn=dns,dc=univention,dc=test
2 Likes

Hallo!

Bedeutet “Restart” die Ausführung der folgenden beiden Befehle?

systemctl restart univention-management-console-server.service
systemctl restart univention-management-console-web-server.service

Werden Sie bei einem Loginversuch auf ucs-sso.<domainname> im Browser weitergeleitet? Wie ist der Join-Status der Maschinen (univention-check-join-status)?

Hi Scheining,

das “neu” ausrollen der Zertifikate hat soweit geholfen. Hier hat sich scheinbar das ucs-sso Zertifikat verklemmt gehabt. Jetzt kann ich mich anmelden.

Vielen Dank

Hi Klaeser,

Ja ich habe diverse Dienste neu gestartet, unter anderem auch diese beiden und mehrfach den Server rebooted. Keine Besserung. Erst der Austausch der Zertifikate hat jetzt geholfen.

Ja die Umleitung wurde versucht, dort kam aber der Fehler.

Der Join-Status:

root@kedc01:~# univention-check-join-status
Joined successfully

Robert

Mastodon