...
- ipahealthcheck.ipa.dna
Отвечает за проверку диапазона DNA (Domain Number Allocation), который используется для распределения идентификаторов в системе, чтобы избежать конфликтов.Раскрыть IPADNARangeCheck
Это выводит настроенный диапазон DNA, если таковой имеется. Предполагается, что эта информация будет использоваться в сочетании с другими данными для дальнейшего анализа.
Блок кода title json { "source": "ipahealthcheck.ipa.dna", "check": "IPADNARangeCheck", "result": "SUCCESS", "kw": { "range_start": 1000, "range_max": 199999, "next_start": 0, "next_max": 0, } }
...
- ipahealthcheck.ipa.host
Выполняет проверку, связанную с аутентификацией текущего хоста, включая проверку корректности файла keytab для различных сервисов служб (LDAP, HTTP, DNS и др.).Раскрыть IPAHostKeytab
Выполняет команду: kinit -kt /etc/krb5.keytab для проверки, что keytab хоста действителен.
...
- ipahealthcheck.ipa.trust
Отвечает за диагностику доверительных отношений (trust) с Active Directory, проверяя настройки trust-агентов, списки доверенных доменов, корректность конфигураций principal, членство в группах и наличие необходимых пакетов.Раскрыть Проверка общих проблем конфигурации доверительных отношений AD.
Проверки вернут статус SUCCESS, если система не настроена как агент доверия или контроллер.IPATrustAgentCheck
Проверка конфигурации sssd, когда машина настроена в качестве агента доверия.
Параметр provider должен иметь значение ipa, а ipa_server_mode – быть установлен в true.
Блок кода title json IPATrustDomainsCheck
Проверяет, что домен IPA присутствует в выводе команды sssctl domain-list, а домены доверия совпадают с доменами, указанными в sssd.
Если списки доменов не совпадают:
Блок кода title json IPATrustCatalogCheck
Проверка, разрешающая имя пользователя AD, например, Administrator@REALM. Эта операция заполняет значения глобального каталога AD и контроллера домена AD в выводе команды sssctl domain-status.
Блок кода title json IPAsidgenpluginCheck
Проверяет, что плагин sidgen включен в экземпляре IPA 389-ds.
Блок кода title json IPATrustAgentMemberCheck
Проверяет, что текущий хост является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json IPATrustControllerPrincipalCheck
Проверяет, что основной cifs-принципал текущего хоста является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json IPATrustControllerServiceCheck
Проверяет, что на текущем хосте запущена служба ADTRUST в рамках ipactl.
Блок кода title json IPATrustControllerConfCheck
Проверяет, что для backend passdb в выводе команды net conf list включён ldapi.Блок кода title json IPATrustControllerGroupSIDCheck
Проверяет, что SID группы администраторов заканчивается на 512 (RID для Domain Admins).Блок кода title json IPATrustPackageCheck
Если система не является контроллером доверия и доверительные отношения AD включены, проверяется наличие установленного пакета trust‑ad.Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustAgentCheck", "severity": ERROR, "kw": { "key": "ipa_server_mode_false", "attr": "ipa_server_mode", "sssd_config": "/etc/sssd/sssd.conf", "domain": "ipa.example.com", "msg": "{attr} is not True in {sssd_config} in the domain {domain}" } }IPATrustDomainsCheck
Проверяет, что домен IPA присутствует в выводе команды sssctl domain-list, а домены доверия совпадают с доменами, указанными в sssd.
Если списки доменов не совпадают:
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustDomainsCheck", "result": "ERROR", "kw": { "key": "domain-list", "sslctl": "/usr/sbin/sssctl", "sssd_domains": "ad.vm", "trust_domains": "", "msg": "{sslctl} {key} reports mismatch: sssd domains {sssd_domains} trust domains {trust_domains}" } }IPATrustCatalogCheck
Проверка, разрешающая имя пользователя AD, например, Administrator@REALM. Эта операция заполняет значения глобального каталога AD и контроллера домена AD в выводе команды sssctl domain-status.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustCatalogCheck", "result": "ERROR", "kw": { "key": "AD Global Catalog", "output": "Active servers:\nAD Domain Controller: root-dc.ad.vm\nIPA: ipa.example.com", "sssctl": "/usr/sbin/sssctl", "domain": "ad.vm", "msg": "{key} not found in {sssctl} 'domain-status' output: {output}" } }IPAsidgenpluginCheck
Проверяет, что плагин sidgen включен в экземпляре IPA 389-ds.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPAsidgenpluginCheck", "result": "ERROR", "kw": { "key": "IPA SIDGEN", "error": "no such entry", "msg": "Error retrieving 389-ds plugin {key}: {error}" } }IPATrustAgentMemberCheck
Проверяет, что текущий хост является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustAgentMemberCheck", "result": "ERROR", "kw": { "key": "ipa.example.com", "group": "adtrust agents", "msg": "{key} не является членом {group}" } }IPATrustControllerPrincipalCheck
Проверяет, что основной cifs-принципал текущего хоста является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerPrincipalCheck", "result": "ERROR", "kw": { "key": "cifs/ipa.example.com@EXAMPLE.COM", "group": "adtrust agents", "msg": "{key} is not a member of {group}" } }IPATrustControllerServiceCheck
Проверяет, что на текущем хосте запущена служба ADTRUST в рамках ipactl.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerServiceCheck", "result": "ERROR", "kw": { "key": "ADTRUST", "msg": "{key} service is not enabled" } }IPATrustControllerConfCheck
Проверяет, что для backend passdb в выводе команды net conf list включён ldapi.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerConfCheck", "result": "ERROR", "kw": { "key": "net conf list", "got": "", "expected": "ipasam:ldapi://%2fvar%2frun%2fslapd-EXAMPLE-COM.socket", "option": "passdb backend", "msg": "{key} option {option} value {got} doesn't match expected value {expected}" } }IPATrustControllerGroupSIDCheck
Проверяет, что SID группы администраторов заканчивается на 512 (RID для Domain Admins).
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerGroupSIDCheck", "result": "ERROR", "kw": { "key": "ipantsecurityidentifier", "rid": "S-1-5-21-1078564529-1875285547-1976041503-513", "msg": "{key} is not a Domain Admins RID" } }IPATrustPackageCheck
Если система не является контроллером доверия и доверительные отношения AD включены, проверяется наличие установленного пакета trust‑ad.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustPackageCheck", "result": "WARNING", "kw": { "key": "adtrustpackage", "msg": "trust-ad sub-package is not installed. Administration will be limited." } }
- ipahealthcheck.meta.core
Собирает основную информацию о FreeIPA-сервере, которая используется для формирования общего отчёта о состоянии системы.Раскрыть MetaCheck
Предоставляет базовую информацию о самом IPA-мастере. Вывод включает FQDN и версию IPA.
Блок кода title json { "source": "ipahealthcheck.meta.core", "check": "MetaCheck", "result": "SUCCESS", "kw": { "fqdn": "ipa.example.test", "ipa_version": "4.8.0", "ipa_api_version": "2.233" } }
- ipahealthcheck.meta.services
Контролирует состояние основных служб FreeIPA (таких как certmonger, dirsrv, httpd, sssd и др.) и сигнализирует о сбоях или остановке их работы.Раскрыть Возвращает статус необходимых IPA-служб
Следующие службы отслеживаются:
- certmonger
- dirsrv
- gssproxy
- httpd
- ipa_custodia
- ipa_dnskeysyncd
- ipa_otpd
- kadmin
- krb5kdc
- named
- pki_tomcatd
- sssd
Значение поля check соответствует имени IPA-сервиса. Обратите внимание, что в именах службы дефисы заменяются на символы подчеркивания.
Пример остановленного сервиса:
Блок кода title json { "source": "ipahealthcheck.meta.services", "check": "httpd", "result": "ERROR", "kw": { "status": false, "msg": "httpd: not running" } }
- ipahealthcheck.system.filesystemspace
Анализирует свободное место на дисковых разделах, ключевых для работы системы FreeIPA, предупреждая о риске нехватки пространства, что может привести к проблемам с логированием и выполнением резервного копирования.
ipahealthcheck.meta.coreРаскрыть Проверка доступного дискового пространства.
Низкий уровень свободного места может вызвать проблемы с логированием, выполнением операций и резервным копированием.FileSystemSpaceCheck
Проверяются как процентное, так и абсолютное минимальное значение свободного места. В зависимости от точек монтирования возможно некоторое пересечение проверок. Минимальное свободное пространство составляет 20 % и в настоящее время задано жёстко.
Проверяются следующие пути:
/var/lib/dirsrv/ – 1024 МБ свободного места
/var/lib/ipa/backup/ – 512 МБ свободного места
/var/log/ – 1024 МБ свободного места
/var/log/audit/ – 512 МБ свободного места
/var/tmp/ – 512 МБ свободного места
/tmp – 512 МБ свободного места
Например, полностью заполненный /tmp будет отображаться следующим образом:
Блок кода title json { "source": "ipahealthcheck.system.filesystemspace", "check": "FileSystemSpaceCheck", "result": "ERROR", "kw": { "msg": "/tmp: free space percentage under threshold: 0% < 20%", "store": "/tmp", "percent_free": 0, "threshold": 20 } }, { "source": "ipahealthcheck.system.filesystemspace", "check": "FileSystemSpaceCheck", "result": "ERROR", "kw": { "msg": "/tmp: free space under threshold: 0 MiB < 512 MiB", "store": "/tmp", "free_space": 0, "threshold": 512 } }
Собирает основную информацию о FreeIPA-сервере, которая используется для формирования общего отчёта о состоянии системы.Раскрыть
Контролирует состояние основных сервисов FreeIPA (таких как certmonger, dirsrv, httpd, sssd и др.) и сигнализирует о сбоях или остановке их работы.Раскрыть
Анализирует свободное место на дисковых разделах, ключевых для работы системы FreeIPA, предупреждая о риске нехватки пространства, что может привести к проблемам с логированием и выполнением резервного копирования.expand
С полным списком можно также ознакомиться при помощи команды:
...