Проблема

Не удается зайти в веб-интерфейс администрирования сервера FreeIPA.

Диагностика

  • Проверить наличие сообщения вида:

    gssproxy[793]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. 

  • Выполнить команду:

    ls -l  /var/lib/ipa/gssproxy

    Если результатом выполнения будут владелец файла и его права www-data:

    -rw------- 1 www-data www-data 528 авг 12 14:04 http.keytab

    следует изменить владельца и его права.

Возможная причина: Изменен владелец и его права в файле http.keytab. Перейти к решению.

  • Убедиться в том, что:
    • При авторизации в веб-интерфейсе FreeIPA возникает ошибка "Не удается войти по неизвестной причине".
    • На контроллере домена вывод выполнения команд показывает разный отпечаток:
      openssl x509 -in /etc/ipa/ca.crt -noout -fingerprint
openssl x509 -in /var/lib/ipa-client/pki/kdc-ca-bundle.pem -noout -fingerprint 
openssl x509 -in /var/lib/ipa-client/pki/ca-bundle.pem -noout -fingerprint

Возможная причина: Несоответствие сертификатов. Перейти к решению.

  • Проверить наличие:

    • сообщений в файлах:

      • /var/log/apache2/error.log:

        [auth_gssapi:error] [pid 3298] [client 127.0.0.1:49672] GSS ERROR gss_acquire_cred[_from]() failed to get server creds: [Unspecified GSS failure. Minor code may provide more information ( SPNEGO cannot find mechanisms to negotiate)]
[wsgi:error] [pid 22506] [remote 10.0.1.10:56123] ipa: INFO: 401 Unauthorized: No session cookie found

      • /var/log/kern.log:

        kernel: TCP: request_sock_TCP: Possible SYN flooding on port 88. Sending cookies. Check SNMP counters.
kernel: traps: syslog-ng[5784] general protection fault ip:763a4b66a8a0 sp:7fadfcd8c4b0 error:0 in libpython2.7.so.1.0[763a4b547000+17f000]

    • ТСР-соединений в состоянии TIME_WAIT:

      sudo netstat -nta | egrep "State|88"
      Вывод:
      Proto Recv-Q Send-Q Local Address          Foreign Address      State      
tcp        0      0 0.0.0.0:88             0.0.0.0:*            LISTEN     
tcp        0      0 10.0.1.10:88           10.0.1.74:46226      TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.204:34338     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.74:46210      TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.8:42346       TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.10:44456      TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.169:42228     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.113:41534     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.247:55942     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.210:55876     TIME_WAIT  
tcp        0      0 10.0.1.10:88           10.0.1.100:37316     TIME_WAIT

Возможная причина: Ошибки во временных файлах Winbind и Samba. Перейти к решению.

  • Получить билет администратора домена:

    sudo kinit admin
  • Проверить валидность таблицы ключей и версию KVNO в таблице:
    sudo kvno -k /var/lib/ipa/gssproxy/http.keytab http/`hostname`
sudo klist -kte /var/lib/ipa/gssproxy/http.keytab
    Если версии ключей различаются, следует получить новый keytab.

Возможная причина: Различаются версии KVNO. Перейти к решению.

Возможные причины