Login auf Slaves nach LDAP mit SSL Anbindung nicht mehr möglich

Hallo zusammen,

wir bauen gerade ein neues verteiltes Monitoring auf und haben Probleme bei der LDAP Anbindung mit SSL Verschlüsselung.
Version: CME 1.6.0p13
Master: Cluster aus VirtApp und Hardware Appliance
zzgl. mehrere Slaves als Virtuelle Appliances per TLS Verschlüsselung.
Distributed Monitoring: Enable replication = Push configuration to this site.

Die LDAP Anbindung mit SSL funktioniert soweit vom Master aus. Er Synct die User und Gruppenzugehörigkeit, alles okay.
Das CA Zertifiakt wurde über die Gloabl settings auf dem Master “Trusted certificate authorities for SSL” hinzugefügt.

Das Problem ist nun, dass der Login mit einem AD User direkt auf einem Slave nicht mehr funktioniert. User ist der Admin-Rolle zugeteilt.
“Direct login to Web GUI allowed” im Distributed Monitoring ist aktiviert.
Es kommt der Fehler LDAP connection failed: […] 636: (unknown error code)

Wir haben dazu folgendes festgestellt:
Die Datei /omd/sites//var/ssl/ca-certificates.crt auf dem Master enthällt die Zertifikate, die in “Trusted certificate authorities for SSL” eingefügt wurden. Auf den Slaves ist das Zertifikat nicht vorhanden. Wenn ich mir die Global Settings aller Slaves über das Distributed Monitoring anschaue, wird das Zertifikat aber angezeigt.

Wir haben jetzt testweise den Inhalt des Zertifikates vom Master auf einem der Slaves angehangen und damit funktioniert der AD-Login auf der Slave. Die De- oder Aktivierung der Option “Trust system wide configured CAs” in “Trusted certificate authorities for SSL” ergibt keinen Unterschied.

Wird das Zertifiakt nicht richtig gesynct oder woanders abgelegt oder wo liegt hier der Fehler?

Des Weiteren funktioniert dann auch der lokale cmkadmin Account auf den Slaves nicht mehr, weder mit kopiertem Zertifiakt noch ohne. Auch nicht mit dem Password des Masters-cmkadmin.

Invalid credentials - mit kopiertem Zertifikat
LDAP connection failed: […] 636: (unknown error code) - ohne dem Zertifikat.

Vielen Dank!
Gruß, Marc

Nur eine Anmerkung von mir - habe das ähnliche Szenario und dort immer dies wie folgt gehandhabt.

  • Stammzertifikat auf allen Hosts im System installiert
  • entweder gewartet bis CMK mal wieder von allein seine Datei “ca-certificates.crt” aktualisiert hat oder dies manuell selbst getan
  • nun sollte es von jedem Slave aus möglich sein mit dem LDAP Server zu reden

Das funktioniert leider auch nicht wirklich. Vorgang laut Handbuch auf dem Slave durchgeführt:
Zertifiakt nach /usr/share/ca-certificates/ kopiert (testweise auch /usr/lokal/share/ca-certificates/).
Dann update-ca-certificates ausgeführt.
Da kommt schon `0 added, 0 removed; done.
Trotzdem Restart vom Apache und CMK-Config push (um das “ca-certificates.crt” zu aktualisieren) durchgeführt und getestet. Immer noch die gleiche Fehlermeldung.
Die “ca-certificates.crt” enthält das Zertifiakt auch nicht.

Ich habe nur erfolg wen ich den Inhalt des Zertifiaktes manuel in die “ca-certificates.crt” kopiere. Das ist natürlich kein Dauerzstand, und wird beim nächsten Config push wahrscheinlich auch wieder überschrieben.

Wenn das kopieren der Zertifiakte in “Trusted certificate authorities for SSL” und der Vorgang laut Handbuch keine Abhilfe schafft, müsste das doch als Bug bekannt sein oder? Das Thema taucht ja häufiger hier im Forum auf.

Das wird halt dummer weise dabei nicht aktualisiert. Ich weiß nicht mehr genau mit was man das triggern konnte, es war jedenfalls nicht gleich ersichtlich.

Der Ordner muss /usr/share/ca-certificates/extra lauten und das eigene root Zertifikat muss die Endung .crt
Danach ein sudo dpkg-reconfigure ca-certificates falls es ein Debian/Ubuntu ist.
Oder halt wie von dir schon genannt sudo update-ca-certificates.

Danach kopiere ich die erstellt ca-certificates einfach in meine Site und das wars.