我已经设置了一个主 FreeIPA 服务器和副本 FreeIPA 服务器以及许多客户端。当短暂关闭主服务器以进行操作系统升级时,一切都变得非常慢。为了模拟这一点,我尝试在测试客户端上的防火墙规则中阻止主服务器,得到相同的结果。
难道它不应该自动切换到与副本对话吗?ipa hostgroup-show ipaservers列出两个服务器。/etc/ipa/default.conf在客户端上仅列出主服务器。有没有一种快速方法可以一步将数十个客户端切换到副本?如果没有,除了在客户端上卸载并重新安装 IPA 之外,我如何安全地将其移动到副本。一般来说,通过在两台服务器之间分配客户端来平衡负载是不明智的吗?我认为这是明智的。我正在使用 ansible-freeipa 来安装和部署 FreeIPA。
当我使用 ssh 登录我的 freeipa 客户端时,我获得了 Kerberos 凭据(klist)。但是,在它们过期后,我不再获得凭据(klist 为空)。这导致没有主目录,因为用户没有 nfs 的权限。我可以使用 kinit 来获取新的凭据。重新启动 sssd 并再次使用 ssh 登录,也获得了新的票证。使用 sudo 也可以获得票证。
我什至不知道哪个进程负责请求票证,所以我不知道从哪里开始调试问题。我有 Ubuntu 20.04 并使用 freeipa-client 包安装客户端。
任何帮助,将不胜感激。
我在删除 FreeIPA 中的组时遇到问题。之前创建了一个名为“开发者”的组,我想删除该组。
我进入 FreeIPA GUI 中的“用户组”并删除有问题的组名。一切听起来都不错,但是如果我去我的客户那里做
getent group developer
我明白了
developer:*:[gid]:(members list)
换句话说,仍然出现。我进入各个小组成员,小组没有显示在他们的帐户中。
如何永久删除此密钥?
我在 CentOS 7 上运行 FreeIPA 4.5.4 版
谢谢!
我在使用 Kerberos 和 Ubuntu 20.04 时遇到问题。
我正在运行一个 FreeIPA 服务器,但由于它可以在我的 Centos 机器上运行,我想这是一个客户端问题。
最大的目标是拥有一个 SSO 系统,用于多种服务。大多数情况下它按预期工作,但有一件事拒绝为我工作:
让 automount/autofs 接受我的 Kerberos 配置。一个主要问题是 autofs 无法读取KRB5CCNAME环境变量。它总是使用 libdefault,如果 Ubuntu 也这样做的话,那很好。但是,出于某种原因,无论我尝试什么,Ubuntu 都不会设置 KRB5CCNAME 环境。变种。在正确登录部分期间,但始终默认为FILE:/tmp/krb5cc_\<UID>_\<VALUE>.
我更喜欢使用密钥环,所以我写default_ccache_name = KEYRING:persistent:%{uid}在 libdefaults 部分的 krb5.conf 中。当手动设置 KRB5CCNAME 时,一切都很好,自动挂载连接到我的 samba 驱动器。
但是让系统决定变量应该包含什么,总是会导致FILE:...
我的客户 krb5.conf 如下所示:
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc = true
rdns = false
dns_canonicalize_hostname = false
ticket_lifetime = 24h
forwardable = true
udp_preference_limit = 0
default_ccache_name = KEYRING:persistent:%{uid}
ccache_type = 4
[realms]
EXAMPLE.COM = {
kdc = ipa.example.com:80
master_kdc = ipa.example.com:88
admin_server = ipa.example.com:749
kpasswd_server = ipa.example.com:464
default_domain = example.com
pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
}
[domain_realm]
.example.com = <EXAMPLE.COM>
example.com = <EXAMPLE.COM>
client.example.com = <EXAMPLE.COM>
SSSD 配置:
[domain/example.com]
debug_level=10
cache_credentials = True
krb5_store_password_if_offline = True
ipa_domain = EXAMPLE.COM
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = client.example.com
chpass_provider = ipa
ipa_server = _srv_, ipa.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
ldap_search_base = cn=accounts,dc=example,dc=com
krb5_ccname_template = KEYRING:persistent:%U
[sssd]
services = nss, sudo, pam, ssh
config_file_version = 2
domains = example.com
debug_level=10
[nss]
override_shell = /bin/bash
[pam]
offline_credentials_expiration = 60
debug_level=10
[domain/default]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
access_provider = ldap
ldap_access_filter = (objectClass=posixAccount)
debug_level=10
[ssh]
[sudo]
有任何想法吗?
我无法使用点斜杠运行脚本,因为我不知道如何在 FreeIPA 中将其添加为 sudo 命令规则。不允许用户使用它。
./myscript.sh
如何像任何其他命令规则一样在 FreeIPA 中添加 ./ 作为规则:
我正在尝试使用 FreeIPA 用户登录 Windows。当我创建具有特定 ---ip 地址的 IPA 主机时一切正常,但是如果我的主机(Windows 机器)没有静态 IP 怎么办?我知道在第一次成功登录到 Windows 后,登录凭据存储在本地,但是当我尝试在没有正确 IP 的情况下登录到 Windows 时需要一些时间。你有什么解决办法吗?
我正在尝试使 VMWare 的证书颁发机构 (VMCA) v6.7 成为 FreeIPA 证书颁发机构的受信任子 CA。我应该能够使用交互式工具(证书管理器)或使用 VMWare 的 certool 和配置文件(certool.cfg)在 VMCA 中生成证书签名请求。
当然,交互式工具有其吸引力。该工具提出问题。需要一些答案:
Press Enter key to skip optional parameters or use Previous value.
Enter proper value for 'Country' [Previous value : US] :
Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] :
Enter proper value for 'Organization' [Previous value : DeMarco Home] :
Enter proper value for 'OrgUnit' [Previous value : none] :
Enter proper value for 'State' [Previous value : North Carolina] :
Enter proper value for 'Locality' [Previous value : Raleigh] :
Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] :
Enter proper value for 'Email' [Previous value : [email protected]] :
Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com
Enter proper value for VMCA 'Name' : vcenter
在 FreeIPA 中,当我尝试签署此 CSR 时,请求未签名,错误 #3009:
invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals
解码 CSR ( https://www.sslshopper.com/csr-decoder.html ) 告诉我它包括主题备用名称 (SAN):
email:[email protected],
IP Address:10.71.73.8
vcenter.int.demarcohome.com
错误“非用户主体禁止使用名称”对我来说有些道理,但不足以为我指明正确的方向。我是否需要通过以不同方式回答问题来以不同方式格式化我的 CSR,或者我是否要在 FreeIPA 中错误地创建从属 CA 的过程?
我正在尝试设置一个简单的流浪盒来使用 FreeIPA 进行测试。我使用的是 CentOS 7 映像,并在盒子中安装了最少的额外东西,并使用一个非常简单的 FreeIPA 定义开始。我尝试过使用简单的 shell 命令,也尝试过使用ansible-freeipa。在这两种情况下,我都看到了相同的错误,尽管它发生的频率似乎不同。在简单的 shell 命令中,它只有大约 50% 的时间失败,但使用 Ansible 似乎是 100%。
失败给了我一个类似下面的错误。
fatal: [ipaserver.test.hadoop.com]: FAILED! => {"changed": false, "module_stderr": "Shared connection to ipaserver.test.hadoop.com closed.\r\n", "module_stdout": "\u001b[?1034hTraceback (most recent call last):\r\n File "/root/.ansible/tmp/ansible-tmp-1583188576.27-186488091977372/AnsiballZ_ipaserver_setup_ca.py", line 102, in \r\n _ansiballz_main()\r\n File "/root/.ansible/tmp/ansible-tmp-1583188576.27-186488091977372/AnsiballZ_ipaserver_setup_ca.py", line 94, in _ansiballz_main\r\n invoke_module(zipped_mod, temp_path, ANSIBALLZ_PARAMS)\r\n File "/root/.ansible/tmp/ansible-tmp-1583188576.27-186488091977372/AnsiballZ_ipaserver_setup_ca.py", line 40, in invoke_module\r\n runpy.run_module(mod_name='ansible.modules.ipaserver_setup_ca', init_globals=None, run_name='main', alter_sys=True)\r\n File "/usr/lib64/python2.7/runpy.py", line 176, in run_module\r\n fname, loader, pkg_name)\r\n File "/usr/lib64/python2.7/runpy.py", line 82, in _run_module_code\r\n mod_name, mod_fname, mod_loader, pkg_name)\r\n File "/usr/lib64/python2.7/runpy.py", line 72, in _run_code\r\n exec code in run_globals\r\n File "/tmp/ansible_ipaserver_setup_ca_payload_Pc9wnM/ansible_ipaserver_setup_ca_payload.zip/ansible/modules/ipaserver_setup_ca.py", line 354, in \r\n File "/tmp/ansible_ipaserver_setup_ca_payload_Pc9wnM/ansible_ipaserver_setup_ca_payload.zip/ansible/modules/ipaserver_setup_ca.py", line 345, in main\r\n File "/usr/lib/python2.7/site-packages/ipaserver/install/ca.py", line 391, in install_step_1\r\n ca.start('pki-tomcat')\r\n File "/usr/lib/python2.7/site-packages/ipaserver/install/service.py", line 464, in start\r\n self.service.start(instance_name, capture_output=capture_output, wait=wait)\r\n File "/usr/lib/python2.7/site-packages/ipaplatform/redhat/services.py", line 192, in start\r\n self.wait_until_running()\r\n File "/usr/lib/python2.7/site-packages/ipaplatform/redhat/services.py", line 186, in wait_until_running\r\n raise RuntimeError('CA did not start in %ss' % timeout)\r\nRuntimeError: CA did not start in 300.0s\r\n", "msg": "MODULE FAILURE\nSee stdout/stderr for the exact error", "rc": 1}
查看 /var/log/messages,我看到错误发生在系统时间 23:25 到 23:27 之间的某个时间。根据错误,在重新启动 CA 时会发生这种情况。它似乎在第一次启动时就可以正常启动。
Mar 2 23:25:42 localhost systemd: Stopped PKI Tomcat Server pki-tomcat.
Mar 2 23:25:43 localhost systemd: Starting PKI Tomcat Server pki-tomcat...
Mar 2 23:26:13 localhost pkidaemon: -----------------------
Mar 2 23:26:13 localhost pkidaemon: Banner is not installed
Mar 2 23:26:13 localhost pkidaemon: -----------------------
Mar 2 23:27:07 localhost pkidaemon: ----------------------
Mar 2 23:27:08 localhost pkidaemon: Enabled all subsystems
Mar 2 23:27:08 localhost pkidaemon: ----------------------
Mar 2 23:27:18 localhost systemd: [email protected] start-pre operation timed out. Terminating.
Mar 2 23:27:18 localhost systemd: Failed to start PKI Tomcat Server pki-tomcat.
Mar 2 23:27:18 localhost systemd: Unit [email protected] entered failed state.
Mar 2 23:27:18 localhost systemd: [email protected] failed.
但是,当我查看 PKI 日志时,在此时间范围内没有任何内容。这些是 /var/log/pki/pki-ca-spawn.20200302231442.log 中的最后几行:
2020-03-02 23:18:32 pkispawn : INFO END spawning subsystem 'CA' of instance 'pki-tomcat'
2020-03-02 23:18:32 pkispawn : INFO ... archiving configuration into '/var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20200302231442'
2020-03-02 23:18:32 pkispawn : INFO ....... cp -p /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg /var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20200302231442
2020-03-02 23:18:32 pkispawn : DEBUG ........... chmod 660 /var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20200302231442
2020-03-02 23:18:32 pkispawn : DEBUG ........... chown 17:17 /var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20200302231442
2020-03-02 23:18:32 pkispawn : INFO ... archiving manifest into '/var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20200302231442'
2020-03-02 23:18:32 pkispawn : INFO ....... cp -p /etc/sysconfig/pki/tomcat/pki-tomcat/ca/manifest /var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20200302231442
2020-03-02 23:18:32 pkispawn : DEBUG ........... chmod 660 /var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20200302231442
2020-03-02 23:18:32 pkispawn : DEBUG ........... chown 17:17 /var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20200302231442
/var/log/pki/pki-tomcat/ca/debug 相同:
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: getConn: mNumConns now 4
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: returnConn: mNumConns now 5
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: In LdapBoundConnFactory::getConn()
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: masterConn is connected: true
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: getConn: conn is connected true
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: getConn: mNumConns now 4
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: returnConn: mNumConns now 5
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: CMSServlet.java: renderTemplate
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: CMSServlet.java: xml parameter detected, returning xml
[02/Mar/2020:23:25:00][http-bio-8080-exec-14]: CMSServlet: curDate=Mon Mar 02 23:25:00 UTC 2020 id=caDisplayCertFromRequest time=144
/var/log/pki/pki-tomcat/ca/system 有一些错误,但在 23:25 之后没有:
0.localhost-startStop-1 - [02/Mar/2020:23:15:08 UTC] [13] [3] authz instance DirAclAuthz initialization failed and skipped, error=Property internaldb.ldapconn.port missing value
0.http-bio-8443-exec-3 - [02/Mar/2020:23:17:53 UTC] [3] [3] CASigningUnit: Object certificate not found. Error Certificate object not found
0.http-bio-8443-exec-3 - [02/Mar/2020:23:17:54 UTC] [11] [3] UGSubsystem: Get User Error netscape.ldap.LDAPException: error result (32); matchedDN = ou=People,o=ipaca
0.Thread-16 - [02/Mar/2020:23:25:00 UTC] [8] [3] Publishing: Could not publish certificate serial number 0x7. Error Failed to publish using rule: No rules enabled
我不知道是什么原因造成的。有任何想法吗?vagrant 文件和 hosts 文件都位于下面的 GitHub 存储库中:https ://github.com/davidov541/HadoopOnVagrant/tree/AnsibleRetrofit/FreeIPA
FreeIPA 使用 dogtag 和 NSS 进行 PKI。Ubuntu 和世界上很多地方都使用 OpenSSL。我现在有一对 FreeIPA 测试服务器复制证书功能,身份验证、授权和 DNS 的单一界面很方便。我更熟悉 OpenSSL
但是,我不明白如何配置 Apache2 的 HTTPd 以基于 dogtag 证书对站点进行身份验证。我正在尝试使用以下说明使 Apache 模块 mod_ssl 工作:https ://pagure.io/mod_nss 。我的证书有效。如何让网站受信任(类似于“SSLCertificateFile /path/to/cert.pem”和相关的密钥文件)?
我很欣赏 VirtualHost 指令的那部分应该看起来如何的片段。
编辑:我知道我可以转换/导出证书,但这需要手动更新/替换证书。(http://itdoc.hitachi.co.jp/manuals/3020/30203Y1800e/EY180073.HTM)
用户密码已过期,在 freeipa web 中过期后重置。用户收到channel 0: open failed: administratively prohibited: open failed
stdio forwarding failed错误,无法进入主机。我已经尝试unlock从门户网站访问用户,我已经在sss_cache. 除了密码没有任何改变。我无法绕过这个错误。
这是安全日志
Feb 26 09:15:36 xxxx-mng-bh-01 sshd[8665]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=a.b.c.d user=serverfault
Feb 26 09:15:36 xxxx-mng-bh-01 sshd[8665]: pam_sss(sshd:auth): received for user serverfault: 12 (Authentication token is no longer valid; new one required)
Feb 26 09:15:36 xxxx-mng-bh-01 sshd[8665]: Accepted password for serverfault from a.b.c.d port 63562 ssh2
Feb 26 09:15:37 xxxx-mng-bh-01 sshd[8665]: pam_unix(sshd:session): session opened for user serverfault by (uid=0)
Feb 26 09:15:37 xxxx-mng-bh-01 sshd[8665]: pam_unix(sshd:session): session closed for user serverfault