在启用SAML的情况下续订集群证书后、无法访问ONTAP系统管理器

最后更新
另存为PDF

Views:: 12

Visibility:: Public

Votes:: 0

Category:: oncommand-system-manager

Specialty:: OM

Last Updated:

适用场景

ONTAP 9
OnCommand System Manager

问题描述

续订集群证书后、System Manager SAML身份验证失败、并显示消息用户名或密码不正确。
集群的apache_error 日志中可能会出现类似以下内容的错误：

[Wed Apr 14 19:54:34.665695 2021 +0000] [dot:error] [pid 21325:tid 34376587776] [client xx.xx.xx.xx:60901] [vserver ID 4294967295] [service security] Denied access to user '<saml_user>', application 'http', auth method 'cert'.

[Wed Apr 14 19:54:34.665713 2021 +0000] [authz_core:error] [pid 21325:tid 34376587776] [client xx.xx.xx.xx:60901] AH01631: user <saml_user>: authorization failure for "/security/login":

集群的shibd 日志中可能会出现类似于以下内容的错误

0000000a.014b5c68 035e5b72 Sat Oct 12 2024 05:21:31 -04:00 [kern_shibd:info:31296] ERROR XMLTooling.CredentialResolver.File [2] [default]: unable to stat local resource (/mroot/etc/vserver_4294967295/certificates/ssl/server/<serial number>/server.key) 0000000a.014b5c69 035e5b72 Sat Oct 12 2024 05:21:31 -04:00 [kern_shibd:info:31296] ERROR XMLTooling.CredentialResolver.File [2] [default]: unable to stat local resource (/mroot/etc/vserver_4294967295/certificates/ssl/server/<serial number>/server.crt)

在集群上检查SAML时、不存在任何条目：

cluster1::> security saml-sp show This table is currently empty.

注意：可以使用SPI下载集群日志。有关详细信息、请参见知识库文章如何从集群模式Data ONTAP存储系统手动收集日志和复制文件。