アップグレード後にLDAP for UNIXネームサービスが「certificate has expired」というメッセージで失敗する

最後の更新
PDFとして保存

Views:: 4

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: nas

Last Updated:

環境

ONTAP 9

問題

UNIXネームサービス用のLDAPのアップグレード後に「certificate has expired」というメッセージが表示されて失敗する

::> ldap check -vserver VSERVER Vserver: VSERVER Client Configuration Name: Unix LDAP Status: down LDAP Status Details: Error: Validate the Ldap configuration procedure failed [ 0 ms] Hostname found in Name Service Cache [ 0] IP Address found in Name Service Cache [ 0] Resolved LDAP servers: 10.1.1.2. Vserver: vserverid [ 1] Successfully connected to ip 10.1.1.2, port 389 using TCP [ 8] Unable to start TLS: Connect error [ 8] Additional info: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (certificate has expired)

SecDログには、ネームサービス検索時に期限切れの証明書も表示される

[ 10] Unable to start TLS: Connect error [ 10] Additional info: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (certificate has expired)

これは、 LDAPを使用するようにネームサービススイッチで設定されているNFSおよびその他のアクセス（UNIXユーザ、UNIXグループ、ネームマッピング、ネットグループ）に依存するアクセスに影響する可能性があります。
表示されたserver-ca証明書は有効です（期限切れではありません）。

::*> security certificate show -vserver VSERVER -type server-ca Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ VSERVER 01234567890ABCDEF01234567890ABCD CERTIFICATENAME server-ca Certificate Authority: CERTIFICATEAUTHORITY Expiration Date: DAY MON DD hh:mm:ss YEAR

LDAPチェックはクラスタの別のノードへの直接SSHを使用して機能する場合がある