SAMLが有効な状態でクラスタ証明書を更新するとONTAP System Managerにアクセスできなくなる
環境
- ONTAP 9
- OnCommand System Manager
問題
クラスタ証明書の更新後にSystem ManagerのSAML認証が失敗し、「The username or password is incorrect」というメッセージが表示されます。
次のようなエラーがクラスタのapache_error ログに記録されることがあります。
[Wed Apr 14 19:54:34.665695 2021 +0000] [dot:error] [pid 21325:tid 34376587776] [client xx.xx.xx.xx:60901] [vserver ID 4294967295] [service security] Denied access to user '<saml_user>', application 'http', auth method 'cert'.
[Wed Apr 14 19:54:34.665713 2021 +0000] [authz_core:error] [pid 21325:tid 34376587776] [client xx.xx.xx.xx:60901] AH01631: user <saml_user>: authorization failure for "/security/login":
次のようなエラーがクラスタのshibd ログに記録されることがあります。
0000000a.014b5c68 035e5b72 Sat Oct 12 2024 05:21:31 -04:00 [kern_shibd:info:31296] ERROR XMLTooling.CredentialResolver.File [2] [default]: unable to stat local resource (/mroot/etc/vserver_4294967295/certificates/ssl/server/<serial number>/server.key)
0000000a.014b5c69 035e5b72 Sat Oct 12 2024 05:21:31 -04:00 [kern_shibd:info:31296] ERROR XMLTooling.CredentialResolver.File [2] [default]: unable to stat local resource (/mroot/etc/vserver_4294967295/certificates/ssl/server/<serial number>/server.crt)
クラスタでSAMLを確認する際にエントリが表示されません。
cluster1::> security saml-sp show
This table is currently empty.
注:クラスタログはSPIを使用してダウンロードできます。詳細については、「clustered Data ONTAPストレージシステムから手動でログを収集してファイルをコピーする方法」を参照してください。