Wartungsankündigung für linuxldap und linuxkdc

Heute um 14 Uhr wird ein Update der SSL-Zertifikate des linuxldap.rrze.uni-erlangen.de durchgeführt. Das Zertifikat muss wegen dem Wechsel der DFN CA ausgetauscht werden.
Desweiteren wird dadurch auch ein Update des linuxkdc.rrze.uni-erlangen.de nötig.

Ausfälle sollten eigentlich nicht zu erwarten sein, da die redundanten Instanzen hinter einem HW-Loadbalancer nacheinander aktualisiert werden und so eine unterbrechungsfreie Versorgung sichergestellt ist.
Nach einem ersten Updateversuch am vergangenen Donnerstag wurden durch den Wechsel der CA allerdings doch einige Probleme festgestellt, die einen Wechsel zurück zum alten Zertifikat nötig machten.

Damit die Umstellung diesmal reibungslos verläuft können folgende Maßnahmen getroffen  werden bzw. wurden bereits getroffen:

  • Auf LDAP-Seite wird nun korrekterweise auch die gesamte Zertifikatkette mit ausgeliefert, so das angeschlossene Clients nun eine durchgehende Trust-Chain bis zum Root-Zertifikat des Systems aufbauen können sollten.
  • Stellen Sie sicher, dass Sie den Endpunkt des Loadbalancers (ohne Zahl am Ende) benutzen, um auf die LDAP-Server/den KDC zuzugreifen. Also linuxldap.rrze.uni-erlangen.de und nicht linuxldap[1-3].rrze.uni-erlangen.de
  • Stellen Sie sicher, dass in Ihren Anbindungen nicht direkt und ausschließlich das aktuelle SSL-Zertifkat des LDAP-Servers eingebunden ist, sondern immer der Trust über die im System verfügbaren CA-Zertifikate gebildet wird.
  • Installieren Sie ggf das neue und das alte CA-Zertifikat des DFN in ihrem System. Eine Anleitung hierzu finden Sie unter im Anleitungs-Portal des RRZE  unter „FAU-CA Zertifikat einbinden„.

Bei Fragen wenden Sie sich gerne an rrze-linux@fau.de

Update (14:18): Die Umstellung ist erfolgt. Sofern bis morgen 9:00 Uhr keine Probleme gemeldet werden, werden auch die restlichen (jetzt gerade inaktiven) Instanzen aktualisiert.

Update (14:29): Aufgrund von vereinzelten Problemen mit den neuen Instanzen wird die alte Instanz linuxldap3.rrze.uni-erlangen.de noch für diese Woche in Betrieb bleiben und kann im Notfall als Fallback zur alten Version direkt genutzt werden.

Update (07.08.2018 – 11:40): Update der letzten Instanzen nun ebenfalls abgeschlossen. Übergang in den normalen Regelbetrieb.