Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
Directory Assistance mit AD und SSL: Verify klappt, aber sonst nix
Deragon:
Dumme Frage: Hatte jemand von euch zwischenzeitlich Erfolg? Hier (bei einem Kunden) das gleiche Problem - zumindest ungefähr. ;-)
Wir haben einen OpenLDAP-Server als LDAP-Proxy dazwischen geschaltet. Domino wird über ein LDAP-Dokument in der DA angetragen, Verbindung mit dem OpenLDAP-Server aufzunehmen (läuft lokal auf der gleichen VM, Kontakt über 127.0.0.1), dieser macht dann TLS-geschützt die Anfrage an das AD.
Testanfragen mit Softerra LDAP Browser und ldapsearch (cygwin, nicht Domino) gegen den OpenLDAP-Proxy funktionieren.
Alle Verify-Buttons im LDAP-Dokument der DA auch.
Auf einem Test-Server und einem produktiven Domino-Server läuft es wie geschmiert.
Aber auf einem, auch wichtigen anderen Domino-Server erscheint das LDAP-Verzeichnis beim show xdir (reload) nicht in der Tabelle.
Das LDAP-Verzeichnis hat den ersten Platz in der Suchreihenfolge.
Dementsprechend wird das OpenLDAP auch gar nicht erst gefragt.
Domino 9.0.1FP10 mit HF. Alle Domino-Server sind gleichartig installiert.
Die "Ich kann keinen Kontakt aufnehmen zu LDAP-Server XYZ"-Meldung bekomme ich auch, z. B. wenn ich mich versuche, mit Windows-Benutzer-Credentials anzumelden:
12.08.2020 12:39:05 nHTTP: BenutzerName [xx.xx.xx.xx] authentication failure using internet password
...
12.08.2020 12:39:20 Error attempting to access the Directory *[127.0.0.1]:9389 (no available alternatives), error is LDAP Server is NOT available
Günther Rupitz:
Hallo
Bei unserem Problem ging es ausschliesslich um LDAPS Verbindungen.
Hier konnte HCL mittlerweile bestätigen, dass es sich um einen Bug im Template handelt (Buttons).
Es funktioniert nämlich, obwohl der Button einen Fehler meldet.
Günther
Deragon:
Update zu "meinem" Problem:
Domino-Server sagt, er könne den LDAP-Server unter 127.0.0.1 Port 9389 nicht erreichen.
LDAP-Server läuft und beantwortet Anfragen unter eben dieser IP-Adresse und Port, z. B. mit Softerra LDAP Browser oder ldapsearch (Cygwin, nicht Domino).
Im auf Maximum aufgedrehten Log des OpenLDAP-Servers erscheint KEIN Verbindungsversuch des Domino-Servers.
renote:
Hier hatte ich auch ein dickes Problem mit LDAPS (636) über ADS und Directory Assistance. Sechs Server konnte ich erfolgreich umstellen, nur einer wollte absolut nicht. Nun habe ich entdeckt, weshalb: Es ist ein Bug in der Serversoftware Domino. Werde einen entspr. BugReport an HCL senden... Verwendete Version: 9.0.1FP10, wird vermutlich aber auch in neueren Versionen noch vorhanden sein:
An dem Server, wo die LDAPS-Abfrage nicht funktionierte, war die Besonderheit, dass ich dort ein Web-Internetsite-Dokument habe (Form=WebSite). Demzufolge wird die Schlüsseldatei auch dort hinterlegt (Feld "SSLKeyFile"="keyfile_34_20.kyr"). HTTPS bei Aufruf der Seiten klappt natürlich, aber über DA eine LDAP-Abfrage über Port 636 nicht. Im Serverlog (console log) stand immer nur "LDAP Server is NOT responding".
Dann fiel mir auf, dass im Serverdokument dieses Servers (Form=Server), in dem Feld "HTTP_SSLKeyFile" der Eintrag "keyfile.kyr", also der default Eintrag vorhanden war. Weil für diesen Server eine Web-Internetsite existiert, ist dieser Eintrag im Serverdokument nicht mehr zu erreichen, man muss in dem Web-Internetsitedokument unter dem Tab Sicherheit - SSL-Optionen die Schlüsseldatei pflegen.
Daraufhin habe ich im Serverdokument das Feld "HTTP_SSLKeyFile" mit einem Agenten auf "keyfile_34_20.kyr" geändert, damit es mit der aktuellen Bezeichnung übereinstimmt. Was soll ich sagen? Die Verbindung hat funktioniert, alles gut.
Der Dominoserver unterscheidet also nicht, schaut bei Verwendung der Directory-Assistance nur im Serverdokument nach der zu verwendenden Schlüsseldatei.
Ich hoffe, dass ich mit dieser Info dem einen oder anderen einen wertvollen Hinweis geben konnte...
Die besten Grüße aus der Aachener Region, Ralf
Edith hat einen Schreibfehler behoben...
DomAdm:
Ich denke mal das ist hier beschrieben:
How to allow Directory Assistance to communicate with an external LDAP server using SSL encryption
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0024955
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln