- ALD Pro - Astra Domain
- Astra Automation
- Astra.Disk
- ACM - Astra Configuration Manager
- AIC - Astra Infrastructure Cloud
- Astra Linux Portable
- Astra Monitoring
- ОС Astra Linux
- BILLmanager
- Ceph
- Единое пространство пользователей (Домены)
- (O)LDAP/389 DS
- Active Directory (AD)
- ALD
- FreeIPA
- FreeIPA. Cмена пароля пользователя Directory Manager
- FreeIPA. Автоматическое добавление создаваемых пользователей в локальную группу
- FreeIPA. Авторизация на SQUID через LDAP
- FreeIPA. Ввод в домен компьютера, работающего под управлением ОС, отличной от Astra Linux
- FreeIPA. Внешний сервер точного времени
- FreeIPA. Восстановление удаленных данных
- FreeIPA. Вход локальных пользователей по SSH
- FreeIPA. Выгрузка сертификатов УЦ
- FreeIPA. Выполнение скриптов при входе пользователя
- FreeIPA. Выпуск сертификата для сервиса
- FreeIPA. Двухфакторная аутентификация с использованием OTP
- FreeIPA. Добавление клиентов в домен из другой области
- FreeIPA. Добавление пользователя командами LDAP
- FreeIPA. Добавление привилегий
- FreeIPA. Добавление сертификата пользователю
- FreeIPA. Доверительные отношения между доменами
- FreeIPA. Документация
- FreeIPA. Допустимая потеря пакетов для корректной репликации домена
- FreeIPA. Доступ к консоли для доменных пользователей
- FreeIPA. Доступ к ресурсам домена AD
- FreeIPA. Запрос информации о пользователях домена
- FreeIPA. Изменения между клиентами и контроллером домена
- FreeIPA. Импорт вектора для OTP-токена
- FreeIPA. Инициализация реплики завершается ошибками
- FreeIPA. Интеграция Foreman/Puppet
- FreeIPA. Использование CLI для добавления в топологию связи между серверами
- FreeIPA. Логирование событий
- FreeIPA. Массовое добавление пользователей
- FreeIPA. Монтирование USB-накопителей доменными пользователями
- FreeIPA. Настройка CA Puppet и FreeIPA
- FreeIPA. Настройка DNS
- FreeIPA. Настройка киоска для доменных пользователей
- FreeIPA. Настройка почтового сервера
- FreeIPA. Настройка правил sudo для учетных записей AD
- FreeIPA. Настройка разрешений на запись оптических дисков
- FreeIPA. Настройки SSSD для восстановления соединения
- FreeIPA. Не происходит разблокировка пользователя
- FreeIPA. Не удается войти в систему после ввода компьютера в домен
- FreeIPA. Не удается зайти в веб-интерфейс администрирования сервера
- FreeIPA. Обновление DNS-записей клиентов
- FreeIPA. Обновление сертификата открытого ключа удостоверяющего центра
- FreeIPA. Ограничение количества параллельных сессий одного пользователя
- FreeIPA. Опция "Изолированная сеть"
- FreeIPA. Отключение DEBUG сервиса pki-tomcat
- FreeIPA. Отличие встроенных команд от команд с префиксом astra-
- FreeIPA. Отображение PAM-сообщений при графическом входе
- FreeIPA. Отображение последнего доменного пользователя при входе в систему
- FreeIPA. Отсутствует выбор целостности у локального администратора
- FreeIPA. Ошибка при обновлении сервера
- FreeIPA. Ошибки во время обновления
- FreeIPA. Ошибки при администрировании
- FreeIPA. Ошибки при вводе клиента в домен
- FreeIPA. Ошибки при установке доверительных отношений (трастов)
- FreeIPA. Ошибки установки
- FreeIPA. Перенаправление запросов
- FreeIPA. Перенос пользователей из AD
- FreeIPA. Перенос пользовательских данных
- FreeIPA. Пользователь домена в качестве локального администратора
- FreeIPA. Пользователь не может выполнять команды с sudo
- FreeIPA. Правило HBAC для входа в графический интерфейс
- FreeIPA. Проблемы в работе сервисов
- Закончился срок действия сертификата на веб-сервер
- Исчерпан лимит на количество одновременно открытых файловых дескрипторов
- Некорректное поведение модуля nunc-stans
- Некорректно обновлен keytab-файл
- Некорректный keytab-файл для веб-сервера
- Ненулевой уровень конфиденциальности
- Отсутствует указатель на keytab-файл для службы dirsrv
- FreeIPA. Проблемы с авторизацией в домене
- FreeIPA. Пропускная способность канала связи
- FreeIPA. Просмотр членства в группах
- FreeIPA. Работа с доменом первого уровня
- FreeIPA. Работа сервисов с Apache2 с включенным параметром AstraMode
- FreeIPA. Разграничение прав администраторов
- FreeIPA. Регистрация USB-накопителей
- FreeIPA. Резервирование DNS-серверов на клиенте домена
- FreeIPA. Репликация и балансировка нагрузки ЕПП
- FreeIPA. Репликация между FreeIPA-репликой и мастер-сервером
- FreeIPA. Репликация серверов не происходит
- FreeIPA. Роль для работы с учтенными съемными носителями информации
- FreeIPA. Смена адресации на контроллере домена
- FreeIPA. Срок действия пароля пользователя домена
- FreeIPA. Удаление PTR-записи через CLI
- FreeIPA. Удаление диапазона UID
- FreeIPA. Удаление сервера реплики
- FreeIPA. Управление связкой с Foreman
- FreeIPA. Усечение результатов поиска пользователей в ЕПП
- FreeIPA. Установка двух гипервизоров в домен
- FreeIPA. Установка доверительных отношений с AD c уровнем леса (домена) 2003
- FreeIPA как КД в AD
- Аутентификация по Рутокену или JaCarta в домене FreeIPA
- Ввод клиента под управлением ALSE 1.7 в домен с контроллером под управлением ALSE 1.6
- Вход в центр администрирования FreeIPA по билету Kerberos
- Вход из-под локального администратора с высокой целостностью
- Двусторонние доверительные отношения FreeIPA - ActiveDirectory
- Категории доступа
- Назначение уровня конфидециальности и целостности через CLI
- Настройка CUPS с авторизацией во FreeIPA
- Обои для всех пользователей в домене FreeIPA
- Отключение авторизации Samba во FreeIPA
- Подключение ОС Windows 10 к домену FreeIPA
- Создание пользователя в домене FreeIPA с указанием уровня конфиденциальности
- Kerberos/OAuth
- Samba
- Samba AD
- DCImanager
- Накопители
- Информационная безопасность
- GitFlic
- Отказоустойчивость
- Hardware/Железо
- RuBackup
- RuPost
- Software/ПО
- Tantor
- Termidesk
- VMmanager
- WorksPad
- Архитектура и интеграция
- Виртуализация
- Графика
- Личный кабинет и портал техподдержки
- Мониторинг и аудит
- Почта
- Печать и сканирование. Принтеры. Сканеры. МФУ
- Сертификация и аттестация
- Сети
- Удаленный доступ
PDF
Закончился срок действия сертификата на веб-сервер
Статья является возможным решением инцидента FreeIPA. Проблемы в работе сервисов
Окружение
Astra Linux Special Edition 1.6
Диагностика
Проверить лог-файлы на наличие сообщений вида:
May 29 09:39:51 astra apachectl[1712]: Action 'start' failed. May 29 09:39:51 astra apachectl[1712]: The Apache error log may have more information. May 29 09:39:51 astra systemd[1]: apache2.service: Control process exited, code=exited status=1 May 29 09:39:51 astra systemd[1]: Failed to start The Apache HTTP Server. May 29 09:39:51 astra systemd[1]: apache2.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: apache2.service: Failed with result 'exit-code'. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Key Distribution Center... May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Key Distribution Center. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Admin Server... May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Main process exited, code=exited, status=2/INVALIDARGUMENT May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Admin Server. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Failed with result 'exit-code'. May 29 09:39:52 astra systemd[1]: Stopping BIND Domain Name Server with native PKCS#11...CODE[Wed May 29 10:22:09.166202 2019] [:warn] [pid 1631] NSSSessionCacheTimeout is deprecated. Ignoring. [Wed May 29 10:22:09.251851 2019] [:error] [pid 1631] SSL Library Error: -8181 Certificate has expired [Wed May 29 10:22:09.251901 2019] [:error] [pid 1631] Unable to verify certificate 'astra.noname.rf'. Add "NSSEnforceValidCerts off" to nss.conf so the server can start until the problem can be resolved.CODE
Проблема начинается с того, что сервисapache2не запускается, после этого останавливаются другие сервисы FreeIPA —dirsrv,kerberos,bind9-pkcs11.
Библиотека SSL возвращает ошибку о том, что срок действия сертификата истек:
# certutil -d /etc/apache2/nssdb/ -L Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI CA Signing Certificate C,, ipa-upd2.gtfo.rbt u,u,u root@ipa-upd2:/home/admin# certutil -d /etc/apache2/nssdb/ -L -n ipa-upd2.gtfo.rbt Certificate: Data: Version: 1 (0x0) Serial Number: 00:93:44:78:ae:18:ed:93:68 Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption Issuer: "CN=CA Signing Certificate" Validity: Not Before: Mon Jun 03 12:12:40 2019 Not After : Wed Jul 03 12:12:40 2019 Subject: "CN=ipa-upd2.gtfo.rbt"CODE
Ошибка возникает в том случае, если системное время выходит за указанные в сертификате рамки (в примере — 18 строка).
Решение
Ответ доступен с подключенной услугой «Техническая поддержка».
Внимание! Для авторизации используйте учетные данные Личного кабинета
Если учетная запись от новой версии личного кабинета отсутствует, просим писать на почту lk@astralinux.ru
Проверить лог-файлы на наличие сообщений вида:
May 29 09:39:51 astra apachectl[1712]: Action 'start' failed. May 29 09:39:51 astra apachectl[1712]: The Apache error log may have more information. May 29 09:39:51 astra systemd[1]: apache2.service: Control process exited, code=exited status=1 May 29 09:39:51 astra systemd[1]: Failed to start The Apache HTTP Server. May 29 09:39:51 astra systemd[1]: apache2.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: apache2.service: Failed with result 'exit-code'. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Key Distribution Center... May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Key Distribution Center. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Admin Server... May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Main process exited, code=exited, status=2/INVALIDARGUMENT May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Admin Server. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Failed with result 'exit-code'. May 29 09:39:52 astra systemd[1]: Stopping BIND Domain Name Server with native PKCS#11...
[Wed May 29 10:22:09.166202 2019] [:warn] [pid 1631] NSSSessionCacheTimeout is deprecated. Ignoring. [Wed May 29 10:22:09.251851 2019] [:error] [pid 1631] SSL Library Error: -8181 Certificate has expired [Wed May 29 10:22:09.251901 2019] [:error] [pid 1631] Unable to verify certificate 'astra.noname.rf'. Add "NSSEnforceValidCerts off" to nss.conf so the server can start until the problem can be resolved.
Проблема начинается с того, что сервисapache2не запускается, после этого останавливаются другие сервисы FreeIPA —dirsrv,kerberos,bind9-pkcs11.
Библиотека SSL возвращает ошибку о том, что срок действия сертификата истек:
Развернуть исходный код# certutil -d /etc/apache2/nssdb/ -L Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI CA Signing Certificate C,, ipa-upd2.gtfo.rbt u,u,u root@ipa-upd2:/home/admin# certutil -d /etc/apache2/nssdb/ -L -n ipa-upd2.gtfo.rbt Certificate: Data: Version: 1 (0x0) Serial Number: 00:93:44:78:ae:18:ed:93:68 Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption Issuer: "CN=CA Signing Certificate" Validity: Not Before: Mon Jun 03 12:12:40 2019 Not After : Wed Jul 03 12:12:40 2019 Subject: "CN=ipa-upd2.gtfo.rbt"Ошибка возникает в том случае, если системное время выходит за указанные в сертификате рамки (в примере — 18 строка).
Возможная причина: Закончился срок действия сертификата на веб-сервер. Перейти к решению.