iManager が開けない

-症状-

iManager が表示できない。ブランクで表示される。

iManager login page is blank

SYS:Apache2\log のエラーログに次の記録がある。

[Mon Sep 01 08:52:30 2008] [crit] (10022)Unknown error: make_secure_socket: for port 443, WSAIoctl: (SO_SSL_SET_SERVER)
Configuration Failed

Error: "10022 unknown error: make_secure_socket" loading Apache

-対策-

PKIDIAG.NLM で Certificate Object の再構成を行います。
OES NetWare は PKIDIAG がありますが、 Windows 版 Linux 版はありません。オブジェクトを削除して Certificate を再作成するしかありません。

How to manually create all security objects

-List-

Enter (fully distinguished) Login Name: .admin.ace
Enter Password: *****
Logging in... User: .admin.ace

PKIDiag 2.78 Utility
-----------------------------------
0) Begin diagnostics now [No changes will be made]
1) Exit now
Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)
Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Diagnostic mode

Enter option:4 - Diagnostic mode をセット


PKIDiag 2.78 Utility
-----------------------------------
0) Begin fixing now [All problems will be fixed if possible]
1) Exit now


Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)

Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Fix mode
5) Default KMO replacement mode: Rename and create new KMO
6) Update default KMO mode: Rename and create when necessary

Note: Default KMOs are SSL CertificateIP and SSL CertificateDNS
Enter option:5 - Default replacement mode をセット


PKIDiag 2.78 Utility
-----------------------------------
0) Begin fixing now [All problems will be fixed if possible]
1) Exit now

Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)

Change default mode [Enter number to toggle between mode(s)]

-----------------------------------
4) Actions: Fix mode
5) Default KMO replacement mode: Rekey existing KMO
6) Update default KMO mode: Re-key when necessary

Note: Default KMOs are SSL CertificateIP and SSL CertificateDNS
Enter option:6 - 必要であれば Re-Ley をセット

PKIDiag 2.78 Utility
-----------------------------------
0) Begin fixing now [All problems will be fixed if possible]
1) Exit now

Addresses [You can change addresses if desired]
-----------------------------------
2) IP address: 192.168.1.238 (default)
3) DNS name: acenw.islandcenter.ddo.jp (default)

Change default mode [Enter number to toggle between mode(s)]
-----------------------------------
4) Actions: Fix mode
5) Default KMO replacement mode: Rekey existing KMO
6) Update default KMO mode: Always Re-key

Note: Default KMOs are SSL CertificateIP and SSL CertificateDNS
Enter option:0 - をセット Fix が開始されます


Step 1 Verifying the Server's link to the SAS Service Object.
Server 'aceNW.System.TK.JP.ace' points to SAS Service object 'SAS Service -
aceNW.System.TK.JP.ace'
Step 1 succeeded.

Step 2 Verifying the SAS Service Object
SAS Service object 'SAS Service - aceNW.System.TK.JP.ace' is backlinked to
server 'aceNW.System.TK.JP.ace'.
Step 2 succeeded.

Step 3 Verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - aceNW.System.TK.JP.T
EST'.
--->KMO IP AG 192\.168\.1\.238 - aceNW.System.TK.JP.ace is linked.
--->KMO SSL CertificateIP - aceNW.System.TK.JP.ace is linked.
--->KMO DNS AG acenw\.islandcenter\.ddo\.jp - aceNW.System.TK.JP.ace is linke
d.
--->KMO SSL CertificateDNS - aceNW.System.TK.JP.ace is linked.
Step 3 succeeded.

Step 4 Verifying the KMOs
---> aceing KMO 'SSL CertificateIP - ace2.System.TK.JP.ace'.
Rights check -- OK.
ERROR -603 reading host server attributes for KMO 'SSL CertificateIP - ace2.Sys
tem.TK.JP.ace'.
Private Key -- Failed.

---> aceing KMO 'SSL CertificateDNS - aceNW.System.TK.JP.ace'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.

---> aceing KMO 'DNS AG acenw\.islandcenter\.ddo\.jp - aceNW.System.TK.JP.TES
T'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.

---> aceing KMO 'SSL CertificateIP - aceNW.System.TK.JP.ace'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.

---> aceing KMO 'IP AG 192\.168\.1\.238 - aceNW.System.TK.JP.ace'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
Step 4 succeeded.

Step 5 Re-verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - aceNW.System.TK.JP.T
EST'.
KMO 'IP AG 192\.168\.1\.238 - aceNW.System.TK.JP.ace' is linked.
KMO 'SSL CertificateIP - aceNW.System.TK.JP.ace' is linked.
KMO 'DNS AG acenw\.islandcenter\.ddo\.jp - aceNW.System.TK.JP.ace' is linked.

KMO 'SSL CertificateDNS - aceNW.System.TK.JP.ace' is linked.
INFO: kmo SSL CertificateIP - ace2.System.TK.JP.ace is not back linked to any
server. It should probably be deleted.
Step 5 succeeded.

Step 6 Creating IP and DNS Certificates if necessary.
--> Number of Server IP addresses = 1
--> The default IP address is: 192.168.1.238
--> The KMO SSL CertificateIP's IP Address is: 192.168.1.238
----> The IP addresses match.
FIXING: Creating SSL CertificateIP (192.168.1.238)
FIXED: Successfully created SSL CertificateIP.
--> Number of Server DNS names for the IP address 192.168.1.238 = 1
--> The server's default DNS name is:
acenw.islandcenter.ddo.jp
--> The KMO SSL CertificateDNS's DNS name is: acenw.islandcenter.ddo.jp
----> The DNS names match.
FIXING: Creating SSL CertificateDNS (acenw.islandcenter.ddo.jp)
FIXED: Successfully created the SSL CertificateDNS.
Step 6 succeeded.


Note: Occasionally multiple problems will be solved with a single fix.

Fixable problems found: 0
Problems fixed: 2 -- 2つのエラーが修復されました。
Un-fixable problems found: 0




java -show を実行して "org.apache.startup.Main xxx" というプロセスがあることを確認します。

ACENW:java -show

Classname ID
========================================
org.apache.catalina.startup.Bootstrap....................... 309
org.apache.catalina.startup.Bootstrap....................... 308
org.apache.catalina.startup.Bootstrap....................... 328

Total Running: 3

この他の情報はこちらを参考にしてください。
非番のエンジニア
Commented by ぐう管 at 2009-04-08 22:51 x
この記事のおかげで、終電に間に合いそうです。本当に助かりました。
サーバー再起動で、GroupWiseWebAccessが動かなくなって、
理由は、Apacheが起動拒否して、その原因は証明書の期限切れらしいのです。
んで、PKIDIAGで解決って具合です。

#sys:trustedsites.crtが更新されるのかと思ったら違うみたい。
こいつも内容的には期限切れなのですが、これを更新するには
どうすれば良いのでしょうか?
Commented by islandcenter at 2009-04-13 17:16
お役にたてて嬉しいです。PKIDIAG はオブジェクトをアップデートするみたいですね。時々使うことがあります。Linux 版はないようです。
証明書関係の詳しいことは判らないのですが、trustedsites.crt を消して作り直すような操作が必要かもしれませんね。もし何かいい TID があれば探して見ます。
Commented by さんと at 2009-04-30 18:23 x
Linux版であれば、CAやKMOを削除して、"ndsconfig add -m SAS"を実行すれば、CAの再作成と、KMOの再作成を一回でやってくれますね。
再作成されるKMOはデフォルトで作成されたものだけなので、後から作ったKMOは新しいCAを使って再作成してあげる必要がありますけど…
Commented by islandcenter at 2009-04-30 18:47
コメントありがとうございます。
試してみます。これで連休の暇つぶしします。
Commented by ぐう管 at 2010-10-10 11:15 x
似非網線板との多重投稿おゆるし下さい。
 昨晩は、久々の(そして不毛な シクシク)徹夜でした。
 NW65サーバーにファイルをオープンしてる(かの様に見える)ゾンビーユーザーのコネクションを強制的に切断する方法ってないでしょうか?

 該当端末自体は、とっくの昔に電源OFFしてるんですが、ActiveConnectionとしてファイルを掴んだまま残っているのです。
 ちなみに、コンソールの monitorからは、切断できませんでした。シクシク
Commented by islandcenter at 2010-10-11 11:22
MONITERから切るか、ボリュームのマウント解除するか。あと何かコマンドがあるか。ちょっとわかりません。ごめんなさい。
Commented by islandcenter at 2010-10-11 14:16
こんな程度ですかね。

Disconnecting a user or clear connections on server.

http://support.novell.com/docs/Tids/Solutions/10024029.html
Commented by ぐう管 at 2010-10-11 17:04 x
コメントありがとうございます。今度ゾンビーが再発したら試してみます。
clear stationって、MONITORが内部的に発行しているコマンドと同じかな?
その後思いついたのは、NWサーバー側のLANケーブルを引っこ抜いてみるって方法
 これも今度試してみます。コマンドで、NICを inActiveにする方がスマートかな?
 NWは3.1時代から20年ほど運用してますが、こんなトラブルは初めてです。
 サーバー側(6.5SP5)に該当のパッチがないかどうかも見ないとだめかな?

#問題が表面化したのは、ユーザーの homeディレクトリにウイルス駆除したからなんです。約2000ユーザーで、一晩で4万個のウィルス駆除、、、
 1フォルダ4万個あっても、XPの explorerでまともに開ける事に、チト感心した、、、
Commented by ぐう管 at 2010-10-11 17:09 x
ついでにですが、Console1 1.3.6h使ってますが、
ファイル名に、TEST..TXT(ピリオド連続)があるフォルダは、
“属性を取得できません”とかいって、ファイル名表示が中断されて
しまいます。非番さんの環境ではどうでしょう?
Commented by islandcenter at 2010-10-11 19:26
NSSはUTF8 なので、...ってのは文字化けですね。C1 使わず、iMnanager か Client で処理せよ、って逃げます。
by islandcenter | 2008-10-21 20:47 | Native Netware | Comments(10)