UMC-Login nach ntpdate

german

#1

Hallo,

aktuell läuft UCS in einer VMWare-Umgebung (DCs als auch Clients).

Nachdem UCS installiert wurde, geht die Uhr um 2 Stunden falsch. Nach dem Update der Zeit mit ntpdate kann ich mich nicht mehr als Administrator einloggen. Der Web Server funktioniert und alles. Nachdem ich meine Zugangsdaten eingegeben habe, wird der Browser leicht transparent und der Ladebalken kommt. Dann gehts aber nicht weiter.

In den Logs habe ich leider nicht so viel gefunden:

/var/log/univention/management-console-server.log
( WARN    ) : SSL error in _receive: [('SSL routines', 'SSL3_READ_BYTES', 'sslv3 alert bad certificate'), ('SSL routines', 'SSL3_READ_BYTES', 'ssl handshake failure')]. Probably the socket was closed by the client.
( WARN    ) : SSL error in _receive: [('SSL routines', 'SSL23_GET_CLIENT_HELLO', 'unknown protocol')]. Probably the socket was closed by the client.
/var/log/univention/management-console-web-server.log
( PROCESS ) : Client: Setting up SSL configuration failed: [('SSL routines', 'SSL3_GET_SERVER_CERTIFICATE', 'certificate verify failed')]
( PROCESS ) : Client: Communication will not be encrypted!
( WARN    ) : Client: _recv: error on socket: [Errno 104] Connection reset by peer

Wenn ich 2 Stunden warte, klappt es wieder mit der Anmeldung. Ebenso wenn ich die Zeit wieder vorstelle …

Woran kann das liegen? Den sdb-Artikel dazu habe ich schon gelesen. Das hat leider nicht zum Erfolg geführt …

Update

Komischerweise ist es genau 2 Stunden (ursprüngliche Zeitdifferenz) nach der in den SSL-Zertifikaten minimal gültigen Zeit:

Not Before: Sep 23 13:15:37 2014 GMT
Not After : Sep 22 13:15:37 2019 GMT

Ich habe es gerade getestet: 15:13 klappte die Anmeldung nicht. 15:17 war sie aber erfolgreich …


#2

Hallo,

das Zertifikat ist gülltig ab “Sep 23 13:15:37 2014 GMT”. Die Zeitzone GMT entspricht UTC, Wir sind derzeit in CEST, oder auch UTC+2.
Vor 15:15 CEST gestern war das erstellte Zertifikat ungültig. Das hat die Fehler erzeugt.

Die BIOS-Uhr wird in UTC erwartet, ich glaube, mich zu erinnern, dass man in anderen Systemen während des Setups bei der Zeitzoneneinstellung auswählen kann, ob das wirklich so ist.

Von VMware gibt es einen umfangreichen KB-Artikel Timekeeping best practices for Linux guests (1006427) mit weiteren Verweisen zum Thema.

Viele Grüße,
Dirk Ahrnke