Hallo,
ich erinnere mich daran, dass SSO vor mehr als einem Jahr mal nach einem UCS Upgrade den Start von Apache verhindert hat. An die Lösung mag ich mich nicht mehr erinnern, möglicherweise wurde die Seite einfach aus Apache entfernt. Nun bringt die Fehlerdiagnose jedoch:
File '/etc/univention/ssl/ucs-sso.domain.local' does not exist.
Das ist richtig:
root@ucs:~# ls -l /etc/univention/ssl/ucs-sso* /etc/simplesamlphp/ucs-sso*
ls: Zugriff auf /etc/univention/ssl/ucs-sso* nicht möglich: Datei oder Verzeichnis nicht gefunden
-rw-r--r-- 1 root samlcgi 5413 Feb 29 2016 /etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.crt
-rw-r----- 1 root samlcgi 1675 Feb 29 2016 /etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.key
root@ucs:~#
Die Anleitung aus https://help.univention.com/t/single-sign-on-setup-failed-join-script-fails-with-various-errors/6678 mit:
univention-run-join-scripts --force --run-scripts 91univention-saml.inst
ucr commit /etc/apache2/sites-available/univention-saml
…bringt leider auch nichts. Manuell kann ich die Zertifikate wohl nicht erstellen, wie in https://forge.univention.org/bugzilla/show_bug.cgi?id=39386 diskutiert…
Zudem führt das obige Problem zu
Ungültiges Zertifikat '/etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.crt' gefunden: /etc/simplesamlphp/ucs-sso.domain.local-idp-certificate.crt: C = XY, ST = XY, L = XY, O = XY, OU = Univention Corporate Server, CN = ucs-sso.domain.local, emailAddress = ssl@domain.local error 20 at 0 depth lookup:unable to get local issuer certificate
Hat jemand eine Idee, um diesen Fehler zu bereinigen?
VG,
TP