Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

Да, вся цепочка сертификатов без красных крестов и на каждом статус This certificate is OK.
12 май 09, 09:41    [7168167]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

запостите содержимое Listener.ora, sqlnet.ora сервера.
Надо добиться, чтобы tnsping без ошибок был
12 май 09, 10:31    [7168384]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
iehf,

не увидел в вашем listener.ora нечто типа:

SID_LIST_LISTENER =
(SID_LIST =
(SID_DESC =
(SID_NAME = PLSExtProc)
(ORACLE_HOME = E:\oracle\9.2.0.8)
(PROGRAM = extproc)
)
(SID_DESC =
(GLOBAL_DBNAME = orcl)
(ORACLE_HOME = E:\oracle\9.2.0.8)
(SID_NAME = orcl)
)
)

оно есть?
12 май 09, 10:51    [7168514]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

очистил логи, стартанул сервис, сделал tnsping
получил TNS-12560: TNS:protocol adapter error

затем соединение по sqlplus
ORA-28862: SSL connection failed

в архив вложил запрошенные файлы настроек и файлы трейсов. Надеюсь поможет в определении проблемы. Я в тупике

К сообщению приложен файл (ssl.zip - 19Kb) cкачать
12 май 09, 11:30    [7168820]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf
iehf,

не увидел в вашем listener.ora нечто типа:

SID_LIST_LISTENER =
(SID_LIST =
(SID_DESC =
(SID_NAME = PLSExtProc)
(ORACLE_HOME = E:\oracle\9.2.0.8)
(PROGRAM = extproc)
)
(SID_DESC =
(GLOBAL_DBNAME = orcl)
(ORACLE_HOME = E:\oracle\9.2.0.8)
(SID_NAME = orcl)
)
)

оно есть?

Сейчас добавим
12 май 09, 11:33    [7168845]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

потом перезапустить листенер надо
12 май 09, 11:35    [7168855]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,
В итоге listener.ora

# LISTENER.ORA Network Configuration File: E:\oracle\9.2.0.8\NETWORK\ADMIN\listener.ora
# Generated by Oracle configuration tools.


TRACE_DIRECTORY_LISTNER = E:\oracle\9.2.0.8\network\log\listener.log


LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = ibmospsu32x010)(PORT = 2484))
)
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1))
)

)
)

SID_LIST_LISTENER =
(SID_LIST =
(SID_DESC =
(SID_NAME = PLSExtProc)
(ORACLE_HOME = E:\oracle\9.2.0.8)
(PROGRAM = extproc)
)
(SID_DESC =
(GLOBAL_DBNAME = orcl)
(ORACLE_HOME = E:\oracle\9.2.0.8)
(SID_NAME = orcl)
)
)


TRACE_LEVEL_LISTNER = 16

SSL_CLIENT_AUTHENTICATION = FALSE

TRACE_TIMESTAMP_LISTNER = TRUE

SQLNET.AUTHENTICATION_SERVICES = (TCPS,NTS)

WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = E:\oracle\WALLETS)
)
)

А статус
E:\oracle\9.2.0.8\network\admin>lsnrctl status

LSNRCTL for 32-bit Windows: Version 9.2.0.8.0 - Production on 12-MAY-2009 11:38:12

Copyright (c) 1991, 2006, Oracle Corporation. All rights reserved.

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=ibmospsu32x010)(PORT=2484)))
ORA-28862: SSL connection failed
TNS-12560: TNS:protocol adapter error
TNS-28862: Message 28862 not found; product=NETWORK; facility=TNS

32-bit Windows Error: 542: Unknown error
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC1)))
STATUS of the LISTENER
------------------------
Alias LISTENER
Version TNSLSNR for 32-bit Windows: Version 9.2.0.8.0 - Production
Start Date 12-╠└╔-2009 11:34:29
Uptime 0 days 0 hr. 3 min. 42 sec
Trace Level off
Security OFF
SNMP OFF
Listener Parameter File E:\oracle\9.2.0.8\network\admin\listener.ora
Listener Log File E:\oracle\9.2.0.8\network\log\listener.log
Listening Endpoints Summary...
(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=ibmospsu32x010.ru.ad.drkw.net)(PORT=2484)))
(DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(PIPENAME=\\.\pipe\EXTPROC1ipc)))
Services Summary...
Service "PLSExtProc" has 1 instance(s).
Instance "PLSExtProc", status UNKNOWN, has 1 handler(s) for this service...
Service "orcl" has 1 instance(s).
Instance "orcl", status UNKNOWN, has 1 handler(s) for this service...
The command completed successfully

E:\oracle\9.2.0.8\network\admin>
12 май 09, 11:40    [7168887]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

ок. уже лучше. А что кажет tnsping orclssl?
12 май 09, 11:46    [7168913]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf
Mladshiy,

ок. уже лучше. А что кажет tnsping orclssl?

Да все то же

E:\oracle\9.2.0.8\network\log>tnsping orclssl

TNS Ping Utility for 32-bit Windows: Version 9.2.0.8.0 - Production on 12-MAY-2009 11:58:14

Copyright (c) 1997, 2006, Oracle Corporation. All rights reserved.

Used parameter files:
E:\oracle\9.2.0.8\network\admin\sqlnet.ora


Used TNSNAMES adapter to resolve the alias
Attempting to contact (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCPS)(HOST = 10.146.4.52
)(PORT = 2484))) (CONNECT_DATA = (SID = orcl) (SERVER = DEDICATED)))
TNS-12560: TNS:protocol adapter error
12 май 09, 11:58    [7168996]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,
у вас в тнснамес.ора:

ORCLSSL =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = 10.146.4.52)(PORT = 2484))
)
(CONNECT_DATA =
(SID = orcl)
(SERVER = DEDICATED)
)
)

адрес 10.146.4.52 соответствует ibmospsu32x010 ?

попробуйте сделать в листенер.ора

LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCPS)(HOST = ibmospsu32x010)(PORT = 2484))
)
(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = TCP)(HOST = ibmospsu32x010)(PORT = 1521))
)

(ADDRESS_LIST =
(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1))
)
)
)

и перезапустить листенер. Потом tnsping orcl. По обычному протоколу хоть прокатит?
12 май 09, 12:08    [7169045]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

перезапускаем литнер, получаем:

LSNRCTL> start
Starting tnslsnr: please wait...

TNSLSNR for 32-bit Windows: Version 9.2.0.8.0 - Production
Їрщыюь ёшёЄхьэ√ї ярЁрьхЄЁют ты хЄё E:\oracle\9.2.0.8\network\admin\listener.ora
ёююс∙хэш яЁюЄюъюыр чряшёрэ√ т E:\oracle\9.2.0.8\network\log\listener.log
╧Ёюёыє°штрхЄё : (DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=ibmospsu32x010.ru.ad.drkw.net)(PORT=2484)
))
╧Ёюёыє°штрхЄё : (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=ibmospsu32x010.ru.ad.drkw.net)(PORT=1521))
)
╧Ёюёыє°штрхЄё : (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(PIPENAME=\\.\pipe\EXTPROC1ipc)))

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=ibmospsu32x010)(PORT=2484)))
ORA-28862: SSL connection failed
TNS-12560: TNS:protocol adapter error
TNS-28862: Message 28862 not found; product=NETWORK; facility=TNS

32-bit Windows Error: 542: Unknown error
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=ibmospsu32x010)(PORT=1521)))
STATUS of the LISTENER
------------------------
Alias LISTENER
Version TNSLSNR for 32-bit Windows: Version 9.2.0.8.0 - Production
Start Date 12-╠└╔-2009 12:12:21
Uptime 0 days 0 hr. 0 min. 0 sec
Trace Level off
Security OFF
SNMP OFF
Listener Parameter File E:\oracle\9.2.0.8\network\admin\listener.ora
Listener Log File E:\oracle\9.2.0.8\network\log\listener.log
Listening Endpoints Summary...
(DESCRIPTION=(ADDRESS=(PROTOCOL=tcps)(HOST=ibmospsu32x010.ru.ad.drkw.net)(PORT=2484)))
(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=ibmospsu32x010.ru.ad.drkw.net)(PORT=1521)))
(DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(PIPENAME=\\.\pipe\EXTPROC1ipc)))
Services Summary...
Service "PLSExtProc" has 1 instance(s).
Instance "PLSExtProc", status UNKNOWN, has 1 handler(s) for this service...
Service "orcl" has 1 instance(s).
Instance "orcl", status UNKNOWN, has 1 handler(s) for this service...
The command completed successfully
LSNRCTL>

В tns уже прописан алиас ORCL для соединение по TCP, в результате имеем подключение.

E:\oracle\9.2.0.8\network\admin>tnsping orcl

TNS Ping Utility for 32-bit Windows: Version 9.2.0.8.0 - Production on 12-MAY-2009 12:14:18

Copyright (c) 1997, 2006, Oracle Corporation. All rights reserved.

Used parameter files:
E:\oracle\9.2.0.8\network\admin\sqlnet.ora


Used TNSNAMES adapter to resolve the alias
Attempting to contact (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = ibmospsu32x0
10)(PORT = 1521))) (CONNECT_DATA = (SID = orcl) (SERVER = DEDICATED)))
OK (10 msec)

E:\oracle\9.2.0.8\network\admin>
12 май 09, 12:16    [7169105]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

затрите все логи. после lsnrctl trace 16
и сделайте еще раз tnsping orclssl
рез-т и логи сервера, клиента, лог и трейс листенера пришлите. ботва какая-то... самому уже интересно
12 май 09, 12:20    [7169132]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
iehf,

и еще, забыл, сорри
службу листенера и базы надо запускать от учетки пользователя, создавшего валлет. Это сделано?
12 май 09, 12:22    [7169146]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

сменил учетку сервиса листнера на свою (под которой валет создавал)
Затер логи, запустил сервисы, сделал tnsping, все содержимое папки log приложил в архиве к сообщению

К сообщению приложен файл (ssl.zip - 47Kb) cкачать
12 май 09, 12:45    [7169278]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

сертификат издавался verisign?
12 май 09, 13:00    [7169356]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf
Mladshiy,

сертификат издавался verisign?

Нет. Некой буржуйской конторой InvestmentBank
12 май 09, 13:07    [7169398]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

судя по трейсу tnsping.trc очень похоже на

    * fact: Oracle Server - Enterprise Edition
    * fact: Advanced Networking Option 9.2
    * fact: SSL Authentication
    * fact: Linux IA32
    * symptom: SSL handshake failed
    * symptom: ora-28868: certificate chain check failed
    * symptom: Test certificate from Verisign
    * symptom: sqlnet trace level SUPPORT
    * symptom: nzxVCA_Validate_CA: Basic Constraints Extensions: CA flag is OFF
    * symptom: Root certificate Basic Constraint does not have Subject Type = CA
    * change: NOTE ROLE: The value of the Basic Constraints can be checked by loading the wallet in IE5 and viewing the Details of the root certificate. Use the menu options Internet Options->Content->Certificates.. view the certificate.
    * cause: Oracle's implementation of SSL requires the CA Root certificate to have the Subject Type = CA. 



fix:

Use a root certificate which has the Subject Type = CA in the Basic Constraint

гляньте в свойствах корневого сертификата СА
12 май 09, 13:12    [7169434]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

а чего там смотреть? Скриншоты в архиве от корневого

К сообщению приложен файл. Размер - 0Kb
12 май 09, 14:36    [7169988]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
и промежуточного

К сообщению приложен файл. Размер - 0Kb
12 май 09, 14:38    [7170000]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

не то. см.пост выше

cause: Oracle's implementation of SSL requires the CA Root certificate to have the Subject Type = CA.

не уверен, нужно это и в промежуточном сертификате. Речь о корневом. См. рис. как проверить.

К сообщению приложен файл. Размер - 0Kb
12 май 09, 14:50    [7170057]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

К сообщению приложен файл. Размер - 0Kb
12 май 09, 15:07    [7170174]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy,

мистика. да, опять забыл, уберите все requested сертификаты из wallet сервера. может из-за этого крыша едет
12 май 09, 15:28    [7170331]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
iehf,

уже убрал. Та же песня.
Есть серверный сертификат, который отражается в валете как certificate:[Ready]. Есть trust certificate где указаны сертификаты верхнего уровня.

Если я пытаюст подсоединиться с удаленного сервера, то я в trust certificate должен занести сертификат, который на сервере как certificate:[Ready]. А если я на одной машине пытаюсь соединиться, то сертификат так же должен как certificate:[Ready] так и в секции trust certificate быть? Я убрал серверный из trust, в трейсе ничего не поменялось. Как на клиентскую сторону его прикреплять?
12 май 09, 15:41    [7170429]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
Mladshiy
Member

Откуда: Москва
Сообщений: 176
вот как оно сейчас выглядит

К сообщению приложен файл. Размер - 0Kb
12 май 09, 15:42    [7170439]     Ответить | Цитировать Сообщить модератору
 Re: Wallet - доступ под разными учетками  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Mladshiy
iehf,
Если я пытаюст подсоединиться с удаленного сервера, то я в trust certificate должен занести сертификат, который на сервере как certificate:[Ready]. А если я на одной машине пытаюсь соединиться, то сертификат так же должен как certificate:[Ready] так и в секции trust certificate быть? Я убрал серверный из trust, в трейсе ничего не поменялось. Как на клиентскую сторону его прикреплять?


т.е. certificate:[Ready] в переводе на русский - сертификат для сервера БД (с CN=ibmospcsu32...), тогда Wallet, который на картинке - это wallet сервера БД?

если так, то при соединении с удаленной машины (без аутентификации) на ней (если под виндой) надо установить сертификат InvestmentBank.com Root CA в хранилище Local Machine\Trusted Root CA, а
InvestmentBank.com SubCA6 - в Intermediate CA. Сертификат клиента для соединения с базой не нужен. Ничего прикреплять не надо.
Та же песня - на компе с базой данных. Но Вы писАли, что сертификат выглядит ОК. Т.е. цепочка отображается примерно как на аттаче

К сообщению приложен файл. Размер - 0Kb
12 май 09, 16:05    [7170632]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
Все форумы / Oracle Ответить