...
- ipahealthcheck.ipa.host
Выполняет проверку, связанную с аутентификацией текущего хоста, включая проверку корректности файла keytab для различных служб (LDAP, HTTP, DNS и др.).Раскрыть IPAHostKeytab
Обеспечивает, что keytab для службы host (обычно
/etc/krb5.keytab) существует на сервере и позволяет получить Ticket‑Granting Ticket (TGT) через GSSAPI.Блок кода title json { "source": "ipahealthcheck.ipa.host", "check": "IPAHostKeytab", "severity": 2, "uuid": "123e4567-e89b-12d3-a456-426614174000", "when": "20250422T102030Z", "duration": 0.015, "kw": { "service": "host", "path": "/etc/krb5.keytab", "msg": "Service host keytab /etc/krb5.keytab does not exist." } }DSKeytab
Обеспечивает, что keytab для службы ldap (обычно
/etc/dirsrv/ds.keytab) существует и позволяет получить билет.Блок кода title json { "source": "ipahealthcheck.ipa.host", "check": "DSKeytab", "result": "ERROR", "uuid": "5ba452bb-f460-489e-adf6-bce7ccd529e3", "when": "20250422214408Z", "duration": "0.000053", "kw": { "service": "ldap", "path": "/etc/dirsrv/ds.keytab", "msg": "Service {service} keytab {path} does not exist." } }HTTPKeytab
Обеспечивает, что keytab для службы HTTP (обычно
/var/lib/ipa/gssproxy/http.keytab) существует и позволяет получить Ticket‑Granting Ticket (TGT) для аутентификации веб‑сервера.Блок кода title json { "source": "ipahealthcheck.ipa.host", "check": "HTTPKeytab", "result": "ERROR", "uuid": "75320965-ac11-41ed-8375-fb96f0dfd636", "when": "20250422215025Z", "duration": "0.000071", "kw": { "service": "HTTP", "path": "/var/lib/ipa/gssproxy/http.keytab", "msg": "Service {service} keytab {path} does not exist." } }DNSKeytab
Проверяет, что keytab для службы DNS (обычно
/etc/bind/krb5.keytab) существует и может получитьTicket‑Granting Ticket (TGT), но только если на хосте настроен DNS‑сервер IPA. При отсутствии записи вdns_server_serverпроверка пропускается.Блок кода title json { "source": "ipahealthcheck.ipa.host", "check": "DNSKeytab", "result": "ERROR", "uuid": "01a7db34-4567-4126-b761-93030e5a61ff", "when": "20250422215654Z", "duration": "0.000171", "kw": { "service": "DNS", "path": "/etc/bind/krb5.keytab", "msg": "Service {service} keytab {path} does not exist." } }DNS_keysyncKeytab
Проверяет, что keytab для службы ipa-dnskeysyncd (обычно
/etc/ipa/dnssec/ipa-dnskeysyncd.keytab) существует и позволяет получить Ticket‑Granting Ticket (TGT), но только если хост настроен как DNS‑сервер IPA. При отсутствии записи вdns_server_serverпроверка пропускается.Блок кода title json { "source": "ipahealthcheck.ipa.host", "check": "DNS_keysyncKeytab", "result": "ERROR", "uuid": "7c6f7fcf-a35f-45c5-ad57-dbc2f273973e", "when": "20250422215025Z", "duration": "0.000095", "kw": { "service": "ipa-dnskeysyncd", "path": "/etc/ipa/dnssec/ipa-dnskeysyncd.keytab", "msg": "Service {service} keytab {path} does not exist." } }
...
- ipahealthcheck.ipa.proxy
Контролирует настройки IPA Proxy, включая проверку корректности секретного ключа, используемого для безопасной коммуникации.Раскрыть IPAProxySecretCheckПроверяет, что секреты AJP (Apache JServ Protocol) коннектора Tomcat совпадают со значениями из
ProxyPassMatchв конфиге Apache (ipa-pki-proxy.conf), и что междуsecretиrequiredSecretнет противоречий.Блок кода title json { "source": "ipahealthcheck.ipa.proxy", "check": "IPAProxySecretCheck", "result": "CRITICAL", "uuid": "6820b5b3-08a9-4632-a834-a71d1ae0d84b", "when": "20220708144958Z", "duration": "0.000894", "kw": { "key": "proxy_secrets", "proxy_conf": "/etc/apache2/conf-enabled/ipa-pki-proxy.conf", "msg": "No ProxyPassMatch secrets found in {proxy_conf}" } }
- ipahealthcheck.ipa.roles
Выполняет проверки, связанные с ролями сервера в инфраструктуре FreeIPA — определяет, является ли сервер мастером обновления сертификатов, CRL-менеджером, и проверяет связанные с этим параметры.
ipahealthcheck.ipa.topologyРаскрыть IPACRLManagerCheck
IPARenewalMasterCheck
Набор информационных проверок для определения, является ли текущий мастер генератором CRL и/или мастером обновления.
Блок кода title json { "source": "ipahealthcheck.ipa.roles", "check": "IPACRLManagerCheck", "result": "SUCCESS", "kw": { "key": "crl_manager", "crlgen_enabled": true } } { "source": "ipahealthcheck.ipa.roles", "check": "IPARenewalMasterCheck", "result": "SUCCESS", "kw": { "key": "renewal_master", "master": true } }
Проводит проверки топологии репликации и сетевой конфигурации, убеждаясь, что все серверы правильно настроены и данные синхронизируются корректно.IPARenewalMasterHasKRACheck
Определяет, является ли текущий узел сервером обновления сертификатов CA (CA renewal master) и проверяет, установлена ли на нём служба KRA (Key Recovery Authority).
Раскрыть Проверки топологии для проверки соответствия как рекомендациям, так и выявления ошибок.
IPATopologyDomainCheck
Предоставляет эквивалент команды: ipa topologysuffix-verify
При сбое возвращает обнаруженные ошибки, такие как ошибки подключения или слишком большое количество репликационных соглашений.
При успешном выполнении возвращаются настроенные домены.
Блок кода title json { "source": "ipahealthcheck.ipa.topologyroles", "check": "IPATopologyDomainCheckIPARenewalMasterHasKRACheck", "result": "SUCCESSCRITICAL", "kwuuid": { "3f2d4a6b-7c8e-4d9f-8b2a-1e5f6c7d8e9f", "suffixwhen": "domain" } }20250422091500Z", { "sourceduration": "ipahealthcheck0.ipa.topology023456", "checkkw": "IPATopologyDomainCheck", { "resultkey": "SUCCESSkra_renewal_master", "kwmsg": { "suffix": "ca "There are KRA(s) in the topology but not on the renewal server. The KRA service certificates will not be renewed." } }
- ipahealthcheck.ipa.trust
Отвечает за диагностику доверительных отношений (trust) с Active Directory, проверяя настройки trust-агентов, списки доверенных доменов, корректность конфигураций principal, членство в группах и наличие необходимых пакетов.topology
Проводит проверки топологии репликации и сетевой конфигурации, убеждаясь, что все серверы правильно настроены и данные синхронизируются корректно.Раскрыть Проверки топологии для проверки соответствия как рекомендациям, так и выявления ошибок.
IPATopologyDomainCheck
Предоставляет эквивалент команды: ipa topologysuffix-verify
При сбое возвращает обнаруженные ошибки, такие как ошибки подключения или слишком большое количество репликационных соглашений.
При успешном выполнении возвращаются настроенные домены
Раскрыть Проверка общих проблем конфигурации доверительных отношений AD.
Проверки вернут статус SUCCESS, если система не настроена как агент доверия или контроллер.IPATrustAgentCheck
Проверка конфигурации sssd, когда машина настроена в качестве агента доверия.
Параметр provider должен иметь значение ipa, а ipa_server_mode – быть установлен в true.
Блок кода title json { "source": "ipahealthcheck.ipa.trusttopology", "check": "IPATrustAgentCheckIPATopologyDomainCheck", "severityresult": ERROR"SUCCESS", "kw": { "keysuffix": "ipa_server_mode_false",domain" } }, { "attrsource": "ipa_server_modeipahealthcheck.ipa.topology", "sssd_configcheck": "/etc/sssd/sssd.confIPATopologyDomainCheck", "domainresult": "ipa.example.comSUCCESS", "msgkw": "{attr} is not True in {sssd_config} in the domain {domain}"suffix": "ca" } }
- ipahealthcheck.ipa.trust
Отвечает за диагностику доверительных отношений (trust) с Active Directory, проверяя настройки trust-агентов, списки доверенных доменов, корректность конфигураций principal, членство в группах и наличие необходимых пакетов.Раскрыть Проверка общих проблем конфигурации доверительных отношений AD.
Проверки вернут статус SUCCESS, если система не настроена как агент доверия или контроллер.IPATrustAgentCheck
Проверка конфигурации sssd, когда машина настроена в качестве агента доверия.
Параметр provider должен иметь значение ipa, а ipa_server_mode – быть установлен в true.
Блок кода title IPATrustDomainsCheck
Проверяет, что домен IPA присутствует в выводе команды sssctl domain-list, а домены доверия совпадают с доменами, указанными в sssd.
Если списки доменов не совпадают:
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustDomainsCheckIPATrustAgentCheck", "resultseverity": "ERROR", "kw": { "key": "domain-listipa_server_mode_false", "sslctlattr": "/usr/sbin/sssctlipa_server_mode", "sssd_domainsconfig": "ad.vm/etc/sssd/sssd.conf", "trust_domainsdomain": "ipa.example.com", "msg": "{sslctlattr} {key}is reportsnot mismatch: sssd domainsTrue in {sssd_domainsconfig} in trustthe domainsdomain {trust_domainsdomain}" } }IPATrustCatalogCheckIPATrustDomainsCheck
Проверка, разрешающая имя пользователя AD, например, Administrator@REALM. Эта операция заполняет значения глобального каталога AD и контроллера домена AD Проверяет, что домен IPA присутствует в выводе команды sssctl domain-status.list, а домены доверия совпадают с доменами, указанными в sssd.
Если списки доменов не совпадают:
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustCatalogCheckIPATrustDomainsCheck", "result": "ERROR", "kw": { "key": "AD Global Catalogdomain-list", "outputsslctl": "Active servers:\nAD Domain Controller: root-dc.ad.vm\nIPA: ipa.example.com/usr/sbin/sssctl", "sssctlsssd_domains": "/usr/sbin/sssctlad.vm", "domaintrust_domains": "ad.vm", "msg": "{sslctl} {key} reports notmismatch: foundsssd indomains {sssctlsssd_domains} 'domain-status' output: {outputtrust domains {trust_domains}" } }IPAsidgenpluginCheck
IPATrustCatalogCheck
Проверка, разрешающая имя пользователя AD, например, Administrator@REALM. Эта операция заполняет значения глобального каталога AD и контроллера домена AD в выводе команды sssctl domain-statusПроверяет, что плагин sidgen включен в экземпляре IPA 389-ds.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPAsidgenpluginCheckIPATrustCatalogCheck", "result": "ERROR", "kw": { "key": "IPAAD Global SIDGENCatalog", "erroroutput": "no such entryActive servers:\nAD Domain Controller: root-dc.ad.vm\nIPA: ipa.example.com", "msgsssctl": "Error retrieving 389-ds plugin {key}: {error}" } }IPATrustAgentMemberCheck
"/usr/sbin/sssctl", "domain": "ad.vm", "msg": "{key} not found in {sssctl} 'domain-status' output: {output}" } }IPAsidgenpluginCheck
Проверяет, что плагин sidgen включен в экземпляре IPA 389-dsПроверяет, что текущий хост является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustAgentMemberCheckIPAsidgenpluginCheck", "result": "ERROR", "kw": { "key": "ipa.example.comIPA SIDGEN", "grouperror": "adtrustno such agentsentry", "msg": "Error retrieving 389-ds plugin {key} не является членом: {grouperror}" } }IPATrustControllerPrincipalCheckIPATrustAgentMemberCheck
Проверяет, что основной cifs-принципал текущего хоста текущий хост является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerPrincipalCheckIPATrustAgentMemberCheck", "result": "ERROR", "kw": { "key": "cifs/ipa.example.com@EXAMPLE.COMcom", "group": "adtrust agents", "msg": "{key} isне not a member ofявляется членом {group}" } }IPATrustControllerServiceCheckIPATrustControllerPrincipalCheck
Проверяет, что на текущем хосте запущена служба ADTRUST в рамках ipactlосновной cifs-принципал текущего хоста является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerServiceCheckIPATrustControllerPrincipalCheck", "result": "ERROR", "kw": { "key": "cifs/ipa.example.com@EXAMPLE.COM", "group": "ADTRUSTadtrust agents", "msg": "{key} service is not enabled a member of {group}" } }IPATrustControllerConfCheckIPATrustControllerServiceCheck
Проверяет, что для backend passdb в выводе команды net conf list включён ldapiна текущем хосте запущена служба ADTRUST в рамках ipactl.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerConfCheckIPATrustControllerServiceCheck", "result": "ERROR", "kw": { "key": "net conf listADTRUST", "gotmsg": "", "expected": "ipasam:ldapi://%2fvar%2frun%2fslapd-EXAMPLE-COM.socket", "option": "passdb backend", "msg": "{key} option {option} value {got} doesn't match expected value {expected}" } }IPATrustControllerGroupSIDCheck
{key} service is not enabled" } }IPATrustControllerConfCheck
Проверяет, что для backend passdb в выводе команды net conf list включён ldapi.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerConfCheck", "result": "ERROR", "kw": { "key": "net conf list", "got": "", "expected": "ipasam:ldapi://%2fvar%2frun%2fslapd-EXAMPLE-COM.socket", "option": "passdb backend", "msg": "{key} option {option} value {got} doesn't match expected value {expected}" } }IPATrustControllerGroupSIDCheck
Проверяет, что SID группы администраторов заканчивается на 512 (RID для Domain Admins).
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerGroupSIDCheck", "result": "ERROR", "kw": { "key": "ipantsecurityidentifier", "rid": "S-1-5-21-1078564529-1875285547-1976041503-513", "msg": "{key} is not a Domain Admins RID" } }IPATrustPackageCheck
Если система не является контроллером доверия и доверительные отношения AD включены, проверяется наличие установленного пакета trust‑ad.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustPackageCheck", "result": "WARNING", "kw": { "key": "adtrustpackage", "msg": "trust-ad sub-package is not installed. Administration will be limited." } }IPADomainCheck
Проверяет, что провайдер домена IPA в SSSD настроен на использование «ipa»: читает секцию домена для текущего IPA‑домена в файле
/etc/sssd/sssd.conf, убеждается, что в ней присутствуют опцииid_provider,auth_provider,chpass_providerиaccess_provider, и что их значение равно"ipa"; в противном случае возвращаетERROR, а при успешной проверке —SUCCESSПроверяет, что SID группы администраторов заканчивается на 512 (RID для Domain Admins).Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerGroupSIDCheckIPADomainCheck", "result": "ERRORSUCCESS", "kwuuid": { "a1b2c3d4-e5f6-7a8b-9c0d-1e2f3a4b5c6d", "keywhen": "ipantsecurityidentifier20220427190310Z", "ridduration": "S-1-5-21-1078564529-1875285547-1976041503-5130.012345", "msgkw": "{key} is not a Domain Admins RID"key": "domain-check" } }IPATrustPackageCheck
IPATrustControllerAdminSIDCheck
Проверяет, что SID учётной записи
adminв доверенном контроллере завершается на500: выполняет LDAP‑запрос к записиuid=admin, атрибутуipantsecurityidentifier, и возвращаетERROR, если идентификатор отсутствует или не оканчивается на500(с ключомipantsecurityidentifierи полемrid), иначе —SUCCESSЕсли система не является контроллером доверия и доверительные отношения AD включены, проверяется наличие установленного пакета trust‑ad.Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustPackageCheckIPATrustControllerAdminSIDCheck", "result": "WARNING"ERROR", "uuid": "d4e5f6a7-8b9c-0d1e-2f3a-4b5c6d7e8f90", "when": "20250422101530Z", "duration": "0.018234", "kw": { "key": "adtrustpackageipantsecurityidentifier", "msgrid": "trust-ad sub-packageS-1-5-21-123456789-123456789-123456789-501", "msg": "ipantsecurityidentifier is not installed.a AdministrationDomain will be limited.Admin RID" } }
- ipahealthcheck.meta.corecor
Собирает основную информацию о FreeIPA-сервере, которая используется для формирования общего отчёта о состоянии системы.Раскрыть MetaCheck
Предоставляет базовую информацию о самом IPA-мастере. Вывод включает FQDN и версию IPA.
Блок кода title json { "source": "ipahealthcheck.meta.core", "check": "MetaCheck", "result": "SUCCESS", "kw": { "fqdn": "ipa.example.test", "ipa_version": "4.8.0", "ipa_api_version": "2.233" } }
...