AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
15.07.20 - 04:43:30
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  HCL Notes / Domino 11+
| |-+  ND11: Administration & Userprobleme (Moderatoren: eknori, fritandr, koehlerbv, Tode)
| | |-+  SAML - The cryptographic key was not found
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: SAML - The cryptographic key was not found  (Gelesen 558 mal)
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« am: 27.05.20 - 14:25:21 »

Hallo,

wir versuchen in unserer Testumgebung (Domino/Notes 11.0) die Anmeldung per SAML zu realisieren.
Wir haben alles soweit eingerichtet wie es in der HCL Anleitung beschrieben ist: https://support.hcltechsw.com/sys_attachment.do?sys_id=fbf36b8d1b1b378083cb86e9cd4bcb93&usg=AOvVaw1OCzZkLxNyyEtzTjMwwWjj

Die Verbindung zwischen Domino und ADFS ist eingerichtet.
Beim ersten Anmelden am Notes Client kommt auch die Meldung das die ID jetzt aus der Vault runtergeladen und für NFL enabled wird.
Danach kommt dann allerdings die Meldung: The cryptographic key was not found

Mir ist jetzt leider nicht klar wem da jetzt der Key fehlt, bzw. bei welcher Verbindung der jetzt fehlt.

In der Konsole des Domino Servers sehe ich u.a. die folgenden Meldungen:

[1898:0083-0C48] 27.05.2020 09:17:41,64 FindXMLElement> rootElement is Response within urn:oasis:names:tc:SAML:2.0:protocol
[1898:0083-0C48] 27.05.2020 09:17:41,64 FindMatchingSignature> Node does not contain a Signature element
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> VerifyResponseSignature : Document is not signed.
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLParseEncrAssertionElement> SECMemoryAllocDesc Key Cipher Value size 159 : No error
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLParseEncrAssertionElement> SECMemoryAllocDesc Data Cipher Value size 1099 : No error
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> Attempt to retrieve key with the public key hash and decrypt. Decoded key hash length: 16
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> Key hash (base64): "x/SGog4esv8kmXr5H/a2r9==", size: 25
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLDecryptAssertionElement> SEC_CM_GetKeyPairExt : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SAMLGetAssertionElementAndText> SAMLDecryptAssertionElement : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> SAMLGetAssertionElementAndText : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41,64 SECCheckAndParseSAMLResponse> Exiting : The cryptographic key was not found
[1898:0083-0C48] 27.05.2020 09:17:41   ATTEMPT TO ACCESS SERVER by Test User/Notes/DE was denied: The cryptographic key was not found

Hat jemand eine Idee welcher Key da gemeint ist?
« Letzte Änderung: 27.05.20 - 14:43:13 von pimpfling » Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
Micha B
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 2898



« Antworten #1 am: 27.05.20 - 15:53:05 »

Bringt Dich das weiter (ab Antwort 8 abwärts)? http://blog.nashcom.de/nashcomblog.nsf/dx/saml-support-in-domino-10.htm?opendocument&comments
Gespeichert
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« Antworten #2 am: 28.05.20 - 09:54:34 »


Nein, leider nicht.
Ich habe mir die XML Datei angesehen, keine "line spaces" drin.
Die Datei kommt auch im Vergleich, zu dem Post bei Daniel, von Okta.
Und die Fehlermeldung dort ist auch leicht anders...
Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
Manfred W.
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #3 am: 28.05.20 - 13:10:30 »

Tasten wir uns mal langsam ran.
Funktioniert denn SAML bei Webzugriff (Browser) auf den Server - siehe "Testing SAML Single Sign On" (Seite 25) in der von Dir verlinkten Anleitung?

In Verbindung mit dem ID Vault gibt es ein paar Stolpersteine bei SAML.
Ist der ID Vault auf dem selben Server wie die Maildatenbank, oder ist das ein anderer Server?
Ist die Server ID passwortgeschützt?
Welche IdP Config Dokumente gibt es aktuell?
« Letzte Änderung: 28.05.20 - 13:21:15 von Manfred W. » Gespeichert
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« Antworten #4 am: 28.05.20 - 13:38:44 »

Tasten wir uns mal langsam ran.
Funktioniert denn SAML bei Webzugriff (Browser) auf den Server - siehe "Testing SAML Single Sign On" (Seite 25) in der von Dir verlinkten Anleitung?

In Verbindung mit dem ID Vault gibt es ein paar Stolpersteine bei SAML.
Ist der ID Vault auf dem selben Server wie die Maildatenbank, oder ist das ein anderer Server?
Ist die Server ID passwortgeschützt?
Welche IdP Config Dokumente gibt es aktuell?

Die Richtung scheint zu stimmen.
Beim Aufruf von https://meindominoserver/names.nsf kommt im Browser die Meldung:

Fehler 400
Webserver: Bad SAML Request

In der Domino Konsole die Meldung wie oben am Anfang beschrieben.

Allerdings wollten wir kein SSO für die Webserver haben, müssen wir das trotzdem einrichten?
Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
Manfred W.
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #5 am: 28.05.20 - 14:20:14 »

OK, jetzt kommen wir der Sache näher.
Kann es sein, dass die federationmetadata.xml, die ihr in die IdP Config importiert habt, schon älter war, und sich die Signing und Encryption Zertifikate vom Security Token Service (ADFS Server) zwischenzeitlich geändert haben? Die müssen nämlich regelmäßig getauscht werden. Und das dann auch im IdP Catalog.
Hol dir nochmal eine neue federationmetadata.xml vom ADFS Server und importier die in sämtliche vorhandenen IdP Configs.

EDIT:
Nein, mit der Web SSO Configuration hat das nichts zu tun. Das geht auch ohne.
« Letzte Änderung: 28.05.20 - 14:32:58 von Manfred W. » Gespeichert
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« Antworten #6 am: 29.05.20 - 10:07:55 »

OK, jetzt kommen wir der Sache näher.
Kann es sein, dass die federationmetadata.xml, die ihr in die IdP Config importiert habt, schon älter war, und sich die Signing und Encryption Zertifikate vom Security Token Service (ADFS Server) zwischenzeitlich geändert haben? Die müssen nämlich regelmäßig getauscht werden. Und das dann auch im IdP Catalog.
Hol dir nochmal eine neue federationmetadata.xml vom ADFS Server und importier die in sämtliche vorhandenen IdP Configs.

EDIT:
Nein, mit der Web SSO Configuration hat das nichts zu tun. Das geht auch ohne.

Nein, das war es leider nicht. Ich habe die federationmetadata.xml jetzt nochmal frisch gezogen und in die eine IdP Konfig importiert. Leider ohne eine Veränderung.

Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
Manfred W.
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #7 am: 29.05.20 - 10:44:30 »

Seltsam. Die Meldung "SAMLDecryptAssertionElement : The cryptographic key was not found" hätte eigentlich auch genau darauf hin gedeutet, dass der Domino Server nicht den richtigen Schlüssel zum entschlüsseln des SAML Artefakts hat.

Ehrlich gesagt finde ich die PDF-Anleitung auch nicht besonders gut gemacht. Die von IBM kopierte Anleitung zum Einrichten von SAML ist besser. Da hangelt man sich Step für Step durch. Erst Basic SAML Authentication (SAML Authentifizierung für Webzugriff) einrichten und testen. Dann den ID Vault Server für Federated SAML Login konfigurieren. Dann den Web Federated Login (automatischer ID Download für iNotes zum signieren und entschlüsseln von Mails) einrichten und testen. Und wenn das funktioniert, ist es nur noch ein kleiner Schritt zum Notes Federated Login.

Vielleicht wirklich da nochmal durchhangeln:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_using_security_assertion_markup_language_saml_to_configure_federated_identity_authentication_t.html
Gespeichert
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« Antworten #8 am: 02.06.20 - 08:38:11 »

Seltsam. Die Meldung "SAMLDecryptAssertionElement : The cryptographic key was not found" hätte eigentlich auch genau darauf hin gedeutet, dass der Domino Server nicht den richtigen Schlüssel zum entschlüsseln des SAML Artefakts hat.

Ehrlich gesagt finde ich die PDF-Anleitung auch nicht besonders gut gemacht. Die von IBM kopierte Anleitung zum Einrichten von SAML ist besser. Da hangelt man sich Step für Step durch. Erst Basic SAML Authentication (SAML Authentifizierung für Webzugriff) einrichten und testen. Dann den ID Vault Server für Federated SAML Login konfigurieren. Dann den Web Federated Login (automatischer ID Download für iNotes zum signieren und entschlüsseln von Mails) einrichten und testen. Und wenn das funktioniert, ist es nur noch ein kleiner Schritt zum Notes Federated Login.

Vielleicht wirklich da nochmal durchhangeln:
https://help.hcltechsw.com/domino/11.0.1/admin/secu_using_security_assertion_markup_language_saml_to_configure_federated_identity_authentication_t.html


ok, danke. Probiere ich mal.
Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« Antworten #9 am: 14.07.20 - 12:30:15 »

Die Anmeldung per SAML SSO funktiniert mitlerweile.
Es lag an einem falschen URL im IdP Catalog.
Dieser Punkt ist also abgehakt.

Jetzt wollen wir auch Windows Clients die sich in einer anderen Windows Domäne befinden über diesen Mechanismus versorgen.
Wir haben dafür erfolgreich einen Trust zwischen den beiden AD FS hergestellt. Eine Anmeldung über die AD Grenzten hinweg funktionierte mit der Test Applikation nicht aber mit dem Notes Client. Der scheint das weiterleiten von enem AD zum anderen nicht zu unterstützen.
Es passiert kein Redirect beim HomeRealmDiscovery.

Im Log des Client sieht man folgende Meldungen:

[16B0:0004-1BF4] 14.07.2020 10:53:26,76 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:27,28 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:27,79 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:28,31 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:28,82 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:29,34 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:29,85 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0004-1BF4] 14.07.2020 10:53:30,37 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:30,40 DeskPostNFLDataToJava>  ENTER
[2520:0002-2500] 14.07.2020 10:53:30,40 DeskPostNFLDataToJava> xml   response : [<response><NFLResponse SSLCertTrusted='true' RoamedHere='false'/></response>
[16B0:0008-16AC] 14.07.2020 10:53:30,42 NotesNFLListener>  processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:30,42 DeskPostNFLDataToJava>  EXIT
[16B0:0004-1BF4] 14.07.2020 10:53:30,89 NNOTESWC::NotesListener> waiting for NFL login to complete
[16B0:0000-07DC] 14.07.2020 10:53:30,96 NotesFederatedLoginSwitchLocation> new location: Home
[16B0:0004-1BF4] 14.07.2020 10:53:31,40 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskCheckWksMQForNFLEvents> new location:Home
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskCheckWksMQForNFLEvents> new LMBCS location:Home
[2520:0002-2500] 14.07.2020 10:53:31,45 NFLSwitchLocation> location not changed
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava>  ENTER
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava> xml   response : [<response><NFLResponse SwitchLocation='true' RoamedHere='false'/></response>
[16B0:0009-07DC] 14.07.2020 10:53:31,45 NotesNFLListener>  processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:31,45 DeskPostNFLDataToJava>  EXIT
[16B0:0004-1BF4] 14.07.2020 10:53:31,92 NNOTESWC::NotesListener> waiting for NFL login to complete
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskCheckWksMQForNFLEvents> error while getting SAML   : 0x9912
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskGetSamlAuthInfo> error DeskCheckWksMQForNFLEvents   : 0x9912
[2520:0002-2500] 14.07.2020 10:53:31,96 PH3_SAML_Interceptor> Failed to retrieve SAML   assertion from IdP
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava>  ENTER
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava> xml   response : [<response><NFLResponse IDUnlocked='false' RoamedHere='false'/></response>
[16B0:000A-07DC] 14.07.2020 10:53:31,96 NotesNFLListener>  processing NFL request A0
[2520:0002-2500] 14.07.2020 10:53:31,96 DeskPostNFLDataToJava>  EXIT
[2520:0002-2500] 14.07.2020 10:53:31,98 DESKSECEnableNFL> DeskSwitchToUser failure : 0x9912

Hat jemand ne Idee ob das überhaupt von Notes unterstützt wird oder wie wir den Fehler beheben können?
Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
DomAdm
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 254

Ich liebe dieses Forum!


« Antworten #10 am: 14.07.20 - 12:53:51 »

Hallo,

dazu passt:
Notes Federated Login setup fails with Failed to retrieve SAML assertion from IdP
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0034047

Diagnosis

On enabling SAML debug on the Notes client the following errors can be seen

NotesNFLListener> processing
NFL request A0
NNOTESWC::NotesListener> waiting for NFL login to complete
DeskCheckWksMQForNFLEvents> error while getting SAML : 0x9912
DeskGetSamlAuthInfo> error DeskCheckWksMQForNFLEvents : 0x9912
PH3_SAML_Interceptor> Failed to retrieve SAML assertion from IdP

Resolution

There can be a number of reasons for this error.

1. The security setting document for the policy does not contain the certificates for the ADFS server.

2. The policy has not been downloaded correctly to the user's Notes client or is corrupt.

3. The user's Notes client's user location preferences contain a proxy that was blocking access to the ADFS server
Gespeichert

Jacob
pimpfling
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 363



« Antworten #11 am: 14.07.20 - 14:33:54 »

Hallo Jacob,

ok, das bedeutet das es grundsätzlich gehen sollte (mit zwei Windows Domainen) und es hoffentlich nur einer der aufgezählten Fehler ist?
Gespeichert

Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: