Проблема

Не удается зайти в веб-интерфейс администрирования сервера FreeIPA.

Диагностика

  • Проверить наличие сообщения вида:

    gssproxy[793]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. 

  • Выполнить команду:

    ls -l  /var/lib/ipa/gssproxy

    Если результатом выполнения будут владелец файла и его права www-data:

    -rw------- 1 www-data www-data 528 авг 12 14:04 http.keytab

    следует изменить владельца и его права.

Возможная причина: Изменен владелец и его права в файле http.keytab. Перейти к решению.

  • Проверить наличие:

    • сообщений в файлах:

      • /var/log/apache2/error.log:

        [auth_gssapi:error] [pid 3298] [client 127.0.0.1:49672] GSS ERROR gss_acquire_cred[_from]() failed to get server creds: [Unspecified GSS failure. Minor code may provide more information ( SPNEGO cannot find mechanisms to negotiate)]
[wsgi:error] [pid 22506] [remote 10.0.1.10:56123] ipa: INFO: 401 Unauthorized: No session cookie found

      • /var/log/kern.log:

        kernel: TCP: request_sock_TCP: Possible SYN flooding on port 88. Sending cookies. Check SNMP counters.
kernel: traps: syslog-ng[5784] general protection fault ip:763a4b66a8a0 sp:7fadfcd8c4b0 error:0 in libpython2.7.so.1.0[763a4b547000+17f000]

    • ТСР-соединений в состоянии TIME_WAIT:

      sudo netstat -nta | egrep "State|88"
      Результат вывода команды 
      Proto Recv-Q Send-Q Local Address          Foreign Address      State      
tcp        0      0 0.0.0.0:88             0.0.0.0:*            LISTEN     
tcp        0      0 10.0.1.10:88           10.0.1.74:46226      TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.204:34338     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.74:46210      TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.8:42346       TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.10:44456      TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.169:42228     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.113:41534     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.247:55942     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.210:55876     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.100:37316     TIME_WAIT

Возможная причина: Ошибки во временных файлах Winbind и Samba. Перейти к решению.

  • В файле /etc/syslog присутствуют строки вида:

    Sep 14 11:37:56 srv14cu101 smartd[1728]: Device: /dev/sdb [SAT], 2 Currently unreadable (pending) sectors

Возможная причина: Проблема доступа к диску. Перейти к решению.

  • Проверить валидность таблицы ключей и версию KVNO в таблице:

    kvno -k /var/lib/ipa/gssproxy/http.keytab http/`hostname`
klist -kte /var/lib/ipa/gssproxy/http.keytab

    Если версии различаются, следует получить новый keytab.

Возможная причина: Различаются версии KVNO. Перейти к решению.

Возможные причины