...
- ipahealthcheck.ipa.dna
Отвечает за проверку диапазона DNA (Domain Number Allocation), который используется для распределения идентификаторов в системе, чтобы избежать конфликтов.
ipahealthcheck.ipa.idnsРаскрыть
Производит диагностику системных DNS‑записей, необходимых для корректной работы инфраструктуры FreeIPA.Раскрыть
Проверяет разрешения, владельцев и целостность основных файлов, используемых FreeIPA, таких как конфигурационные файлы и файлы NSS‑базы.Раскрыть
Выполняет проверки, связанные с аутентификацией текущего хоста, включая проверку корректности файла keytab для различных сервисов (LDAPIPADNARangeCheck
Это выводит настроенный диапазон DNA, если таковой имеется. Предполагается, что эта информация будет использоваться в сочетании с другими данными для дальнейшего анализа.
Блок кода title json { "source": "ipahealthcheck.ipa.dna", "check": "IPADNARangeCheck", "result": "SUCCESS", "kw": { "range_start": 1000, "range_max": 199999, "next_start": 0, "next_max": 0, } }
- ipahealthcheck.ipa.idns
Производит диагностику системных DNS‑записей, необходимых для корректной работы инфраструктуры FreeIPA.Раскрыть
- ipahealthcheck.ipa.files
Проверяет разрешения, владельцев и целостность основных файлов, используемых FreeIPA, таких как конфигурационные файлы и файлы NSS‑базы.Раскрыть IPAFileNSSDBCheck
IPAFileCheck
TomcatFileCheck
Эти проверки проверяют владельца и режим файлов, установленных или настроенных IPA. Существует множество вариантов прав доступа к файлам и владельцев, которые могут быть допустимыми и продолжать работать. Здесь приведены ожидаемые значения для чистой установки IPA. Отклонения фиксируются на уровне WARNING.
Блок кода title json { "source": "ipahealthcheck.ipa.files", "check": "IPAFileCheck", "result": "WARNING", "kw": { "key": "_etc_ipa_ca.crt_mode", "path": "/etc/ipa/ca.crt", "type": "mode", "expected": "0644", "got": "0444", "msg": "Permissions of /etc/ipa/ca.crt are 0444 and should be 0644" } } { "source": "ipahealthcheck.ipa.files", "check": "IPAFileNSSDBCheck", "result": "WARNING", "kw": { "key": "_etc_dirsrv_slapd-EXAMPLE-TEST_pkcs11.txt_mode", "path": "/etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt", "type": "mode", "expected": "0640", "got": "0666", "msg": "Permissions of /etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt are 0666 and should be 0640" } }
- ipahealthcheck.ipa.host
Выполняет проверку, связанную с аутентификацией текущего хоста, включая проверку корректности файла keytab для различных сервисов (LDAP, HTTP, DNS и др.).Раскрыть IPAHostKeytab
Выполняет команду: kinit -kt /etc/krb5.keytab для проверки, что keytab хоста действителен.
- ipahealthcheck.ipa.kdc
Следит за состоянием рабочих процессов KDC (Kerberos Distribution Center), необходимых для работы аутентификации.Раскрыть
- ipahealthcheck.ipa.meta
Собирает общую информацию о сервере FreeIPA (например, FQDN, версии продукта), предоставляя обзор состояния системы.Раскрыть
- ipahealthcheck.ipa.nss
Проверяет корректность работы NSS‑подсистемы, например, правильное членство пользователей в группах, связанные с NSS‑базой.Раскрыть
- ipahealthcheck.ipa.proxy
Контролирует настройки IPA Proxy, включая проверку корректности секретного ключа, используемого для безопасной коммуникации.Раскрыть
- ipahealthcheck.ipa.roles
Выполняет проверки, связанные с ролями сервера в инфраструктуре FreeIPA — определяет, является ли сервер мастером обновления сертификатов, CRL-менеджером, и проверяет связанные с этим параметры.Раскрыть IPACRLManagerCheck
IPARenewalMasterCheck
Набор информационных проверок для определения, является ли текущий мастер генератором CRL и/или мастером обновления.
Блок кода title json { "source": "ipahealthcheck.ipa.roles", "check": "IPACRLManagerCheck", "result": "SUCCESS", "kw": { "key": "crl_manager", "crlgen_enabled": true } } { "source": "ipahealthcheck.ipa.roles", "check": "IPARenewalMasterCheck", "result": "SUCCESS", "kw": { "key": "renewal_master", "master": true } }
- ipahealthcheck.ipa.topology
Проводит проверки топологии репликации и сетевой конфигурации, убеждаясь, что все серверы правильно настроены и данные синхронизируются корректно.Раскрыть Проверки топологии для проверки соответствия как рекомендациям, так и выявления ошибок.
IPATopologyDomainCheck
Предоставляет эквивалент команды: ipa topologysuffix-verify
При сбое возвращает обнаруженные ошибки, такие как ошибки подключения или слишком большое количество репликационных соглашений.
При успешном выполнении возвращаются настроенные домены.
Блок кода title json { "source": "ipahealthcheck.ipa.topology", "check": "IPATopologyDomainCheck", "result": "SUCCESS", "kw": { "suffix": "domain" } }, { "source": "ipahealthcheck.ipa.topology", "check": "IPATopologyDomainCheck", "result": "SUCCESS", "kw": { "suffix": "ca" } }
- ipahealthcheck.ipa.trust
Отвечает за диагностику доверительных отношений (trust) с Active Directory, проверяя настройки trust-агентов, списки доверенных доменов, корректность конфигураций principal, членство в группах и наличие необходимых пакетов.
, HTTP, DNS и др.).Раскрыть Проверка общих проблем конфигурации доверительных отношений AD.
Проверки вернут статус SUCCESS, если система не настроена как агент доверия или контроллер.IPATrustAgentCheck
Проверка конфигурации sssd, когда машина настроена в качестве агента доверия.
Параметр provider должен иметь значение ipa, а ipa_server_mode – быть установлен в true.
Блок кода title json IPATrustDomainsCheck
Проверяет, что домен IPA присутствует в выводе команды sssctl domain-list, а домены доверия совпадают с доменами, указанными в sssd.
Если списки доменов не совпадают:
Блок кода title json IPATrustCatalogCheck
Проверка, разрешающая имя пользователя AD, например, Administrator@REALM. Эта операция заполняет значения глобального каталога AD и контроллера домена AD в выводе команды sssctl domain-status.
Блок кода title json IPAsidgenpluginCheck
Проверяет, что плагин sidgen включен в экземпляре IPA 389-ds.
Блок кода title json IPATrustAgentMemberCheck
Проверяет, что текущий хост является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json IPATrustControllerPrincipalCheck
Проверяет, что основной cifs-принципал текущего хоста является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json IPATrustControllerServiceCheck
Проверяет, что на текущем хосте запущена служба ADTRUST в рамках ipactl.
Блок кода title json IPATrustControllerConfCheck
Проверяет, что для backend passdb в выводе команды net conf list включён ldapi.Блок кода title json IPATrustControllerGroupSIDCheck
Проверяет, что SID группы администраторов заканчивается на 512 (RID для Domain Admins).Блок кода title json IPATrustPackageCheck
Если система не является контроллером доверия и доверительные отношения AD включены, проверяется наличие установленного пакета trust‑ad.Блок кода title json Раскрыть
Следит за состоянием рабочих процессов KDC (Kerberos Distribution Center), необходимых для работы аутентификации.Раскрыть
Собирает общую информацию о сервере FreeIPA (например, FQDN, версии продукта), предоставляя обзор состояния системы.Раскрыть
Проверяет корректность работы NSS‑подсистемы, например, правильное членство пользователей в группах, связанные с NSS‑базой.Раскрыть
Контролирует настройки IPA Proxy, включая проверку корректности секретного ключа, используемого для безопасной коммуникации.Раскрыть
Выполняет проверки, связанные с ролями сервера в инфраструктуре FreeIPA — определяет, является ли сервер мастером обновления сертификатов, CRL-менеджером, и проверяет связанные с этим параметры.Раскрыть
Проводит проверки топологии репликации и сетевой конфигурации, убеждаясь, что все серверы правильно настроены и данные синхронизируются корректно.Раскрыть
Отвечает за диагностику доверительных отношений (trust) с Active Directory, проверяя настройки trust-агентов, списки доверенных доменов, корректность конфигураций principal, членство в группах и наличие необходимых пакетов.expand
- ipahealthcheck.meta.core
Собирает основную информацию о FreeIPA-сервере, которая используется для формирования общего отчёта о состоянии системы.Раскрыть
...