Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Directory Assistance mit AD und SSL: Verify klappt, aber sonst nix

(1/3) > >>

Tode:
Wir versuchen hier gerade einen Domino an einen Domain Controller 2019 mit aktiviertem SSL anzubinden:

Wir haben folgendes gemacht:

- keyring auf dem Domino eingerichtet
- Root und Intermediate der internen CA, die das AD- Server- Zertifikat ausgestellt hat in cacert und Adressbuch als "Vertrauenswürdig" importiert
- Directory Assictance mit Authentication eingerichtet.
- aktivierte Cipher zwischen AD und Domino abgeglichen, zusätzliche Cipher auf Domino aktiviert.

Ein Klick auf "Verify" in der DA startet ja einen Server- Agenten, der die Verbindung prüft und liefert "OK" zurück.
Sobald ich die Konfig aber abspeichere, taucht der Eintrag nicht in der DA auf. Auf dem Domain Controller sind meine erfolgreichen Tests mit "Verify" im log sichtbar, die Versuche der DA selbst aber nicht.

Wie kann ich das Debuggen?

Domino ist 9.0.1FP10 HF265

Pfefferminz-T:
Wie meinst Du "taucht der Eintrag nicht in der DA auf"? In der da selbst oder bei show xdir? Was sagt show xdir debug?

Tode:
show xdir und show xdir reload bringen nichts, sh xdir debug kannte ich tatsächlich noch nicht. Es taucht in der Konsole sporadisch die Meldung auf, dass er den Server ad.domain.de:443 nicht kontaktieren könnte und keine Alternative vorhanden wäre.

Nun... werde ich dem Admin mal sh xdir debug übermitteln... und der soll mir den Output sagen... ansonsten muss das bis zum nächsten Vor- Ort- Termin wartten: mit dem "alten" Domain- Controller ohne SSL geht es ja noch, und der wird erst im Februar abgeschaltet (sobald MS LDAP ohne SSL wie angekündigt abschaltet)

THX:
Hallo zusammen und in die Runde  ;)


Ich stehe auch gerade vor diesem Problem und habe auch die gleichen Schritte, wie Torsten (Tode) unternommen.
Verify im DA Dokument (GUI) ergibt ein "Success" aber wenn ich das DA Dokument aktiviere erscheint der Eintrag nicht bei der Anzeige mit sh xdir. Wenn ich das DA Dokument umstelle auf Port 389 (ohne SSL) geht, LDAP Daten werden übertragen und es wird auch bei sh xdir angezeigt.

Ich habe mir den SSL Verbindungsversuch per WireShark angeschaut und es kommt auch eine Verbindung per Port 636 mit dem AD Server zustande aber es werden irgendwie dann keine LDAP Daten übertragen.

Mit erhöhtem Loglevel ist dann noch Das in der Console zu sehen (Ende SSL Handshake):
...
...
03.02.2020 11:01:09,01 SSL_Handshake> TLS/SSL Handshake completed successfully
03.02.2020 11:01:09,01 int_MapSSLError> Mapping SSL error 0 to 0 [SSLNoErr]

...und wiederholt sich dann ständig

sh xdir debug habe ich auch probiert, hat aber leider keine wirklichen verwertbaren Ergebnisse geliefert.

In der Console/Log wird folgendes, oft nur nach Neustart des Servers, angezeigt: Error attempting to access the Directory *ad.domain.tld:636 (no available alternatives),  error is LDAP Server is NOT available.

Ach ja bei mir ist es allerdings ein IBM/HCL Domino 10.0.1FP2. Da ich das aber auch noch für andere Server mit 9.0.1FP10 benötige ist die Basis im Prinzip auch gleich.

Evtl. habt ihr ja noch Hinweise, wo ich noch suchen oder was ich noch ausprobieren kann.

Günther Rupitz:
Grüße Euch

Ich habe vielleicht ein ähnliches Problem.

Ich hatte unter Domino 9.0.1 schon DA mit LDAP nach ActiveDirectory mit SSL im Einsatz, durch SAML wurde es aber obsolet.
Nun wollen wir es unter Domino 10.0.1 FP4 aber wieder einsetzen.

Wenn ich im entsprechenden DA-Dokument nicht über SSL gehe funktioniert alles so wie es soll, wenn ich jedoch SSL aktiviere schlägt die Verifikation jedoch fehl (alle 3 Buttons).
Wenn ich mit Debug_Directory_Assistance=1 das logging aufdrehe bekomme ich aber auch keine Fehlermeldung.

sh xdir zeigt das das Verzeichnis korrekt an.

Als erstes habe ich natürlich das AD-Rootzertifikat ins Domino kyr File importiert, damit erhalte ich auf der Konsole keine SSL Zertifikatsfehler mehr, hier ein Auszug:

[207C:0008-05FC] 16.04.2020 18:23:42,76 SSL_Handshake> Protocol Version = TLS1.2 (0x303)
[207C:0008-05FC] 16.04.2020 18:23:42,76 SSL_Handshake> Cipher = ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xC028)
[207C:0008-05FC] 16.04.2020 18:23:42,76 SSL_Handshake> KeySize = 256 bits
[207C:0008-05FC] 16.04.2020 18:23:42,76 SSL_Handshake> Ephemeral Elliptic Curve = NIST P-256 (23)
[207C:0008-05FC] 16.04.2020 18:23:42,76 SSL_Handshake> Using Extended Master Secret from RFC 7627
[207C:0008-05FC] 16.04.2020 18:23:42,76 SSL_Handshake> TLS/SSL Handshake completed successfully

Kann es sein, dass hier der Verifikationsprozess ein Problem hat?
Wie kann ich noch testen ob die LDAP Abfrage tatsächlich funktioniert?

Danke.
Günther

Navigation

[0] Themen-Index

[#] Nächste Seite