HPE OneView Global Dashboard (Linux) – Domain and Certification Issue


HPE OneView, altyapınızdaki HPE ürünlerini tek bir ekrandan yönetmenizi ve izlememizi sağlayan “software defined infrastructure” (yazılım tabanlı altyapı) mimarisini bize sunan bir HPE ürünüdür. HPE OneView Global Dashboard ise ortamınızda bulunan birden fazla HPE OneView ürününü tek bir ekranda toplayıp size tek bir sayfada ortamınızı izleme imaknı sunmaktadır.

Global Dashboard appliance OVF template olarak HPE websitesinden indirebilir. Ortamınıza deploy etmenizde 10 dakikalık bir işlemdir. Sonrasında bunu sanal sunucuyu domain’e ekleyip yetkilendirdiğiniz kullanıcı grubunun üyelerinin sadece bu sisteme giriş yapmasını ve lokal admin kullanıcısının (administrator) kullanılmamasını isteyebilirsiniz. Bu aşamada inanın benim gibi çok uğraşabilirsiniz. Global Dashboard un domain e üye yapılması sırasında aslında çok basittir. Belki siz kendi ortamınızda bu sorunu hiç yaşamayıp, tek adımda normal “Add Directory” ekranından domain bilgilerinizi girerek, sunucuyu domain’e üye yapacaksınız. Ama yine de belki benim gibi sorun yaşayanlar olabilir düşüncesiyle aşağıdaki adımları paylaşmak istedim.

HPE OneView Global Dashboard ürününüzü VMware virtual appliance olarak ortama deploy ettiniz ve lokal admin kullanıcısı ile network ten web sayfası karşınıza geliyor. Buraya kadar herşey ok, network ayarlarınızda (DNS, hostname, ping, IP, vs) düzgün. Makineyi domain ‘e dahil edelim dediniz. İşte bu noktada ben aşağıdaki hatayı aldım ve çok basit olan bu işlem bana birkaç güne mal oldu. Hatta HPE ye de Case açtım ve sorunun ana nedenini bulmaya çalıştım. HPE mühendisleriyle de sorunu analiz ettik, testler yaptık. Sonuçta aşağıdaki birkaç adımla sorun çözüldü.

Sol tarafta settings kısmından gidip Active Directory ile ilgili gerekli tüm bilgileri girip OK tuşuna basınca yukarıdaki ekranda sağ tarafta gördüğünüz hatayı alıyordum.

“One or more certificates in the chain may not have been added to the appliance or can not be trusted.”

Çözüm olarak ise CA sertifikalarınının appliance trust store içerisine eklenip eklenmediğini ve geçerliliklerini kontrol etmem öneriliyordu.

“Check if required CA certificates have been added to the appliance trust store and are valid”

Öneri doğruydu fakat yeterli değildi. Lafı çok uzatmayalım, nasıl çözdük?

  • Mevcut domain’e zaten üye olan Windows yüklü bilgisayarımda (laptop) MMC çalıştırdım ve “Certificates” snap-in ini “Computer Account” olarak ekledim.

  • Intermediate Certification Authorities kısmına geçtim.

 

  • Bu alanda Root ve ona bağlı Intermediate sertfikasını “Base-64” formatında export ettim.

  • Yine aynı ekranda root ve Intermediate sertifikalarını cift tıklayıp, CRL linklerini buldum ve verilen adrese Internet Explorer ile gidip, bu CRL (Certificate Revocation List) dosyalarını da her iki sertifika için ayrı ayrı download ettim. Bu adım çok önemli. CRL dosyaları olmadan işlem tamamlanmış olmuyor.

  • Sonra bu sertifikaları HPE OneView Certificate Trust Store içerisine gidip ekledim. Sertifikaları Notepad ile açıp içerisindeki kodu da direkt verebilirsiniz.
  • Root ve Intermediate sertifiklarını ekledikten sonra birkaç dakika bekleyin. Çünkü ilk eklediğinizde yeşil (OK) durumda olan sertifikalar, CRL bilgisi olmadığı için sonrasında sarı (warning) hale dönecektir.
  • Birkaç dakika bekledikten ve ekranı yeniledikten sonra yine aynı sertifikaları seçip, sağ tarafta açılan ekranda “Upload CRL” butonuna basıp, her iki sertifika için de CRL dosyalarını ekledim.
  • Son olarakta yine en başa dönüp, makineyi domain e ekleme adımından domain üyeliğini gerçekletirdim ve sorun çözüldü.

Yukarıdaki çözüm yöntemi aslında sadece OneView için geçerli değil, birçok Linux makinede de işinize yarayabilir. Her zaman Linux tabanlı bir makineyi domain e eklemek bu şekilde sıkıntı olmaz, ama yine de bu bilgiler elinizin altında bulunsun.

tolgaasik

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

Post comment