...
- ipahealthcheck.ipa.certs
Содержит набор проверок, связанных с сертификатами FreeIPA: контролирует срок действия сертификатов, проверяет целостность и корректность цепочки доверия, сверяет сертификаты в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базах и PEM-файлах, а также их соответствие записям в LDAP.Раскрыть title Проверки в источнике ipahealthcheck.ipa.certs IPACertmongerExpirationCheck
Перебирает все ожидаемые запросы certmonger и проверяет срок действия сертификата, основываясь на информации, которой располагает certmonger. Если сертификат истекает в пределах cert_expiration_days (по умолчанию 28 дней), выдается предупреждение.
Истекший сертификат:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertmongerExpirationCheck", "result": "ERROR", "kw": { "key": 1234, "expiration_date": "20160101001704Z", "msg": "Request id 1234 expired on 20160101001704Z" } }Сертификат, истекающий скоро:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertmongerExpirationCheck", "result": "WARNING", "kw": { "key": 1234, "expiration_date": "20160101001704Z", "days": 9, "msg": "Request id 1234 expires in 9 days" } }IPACertfileExpirationCheck
Похожа на IPACertmongerExpirationCheck, но сертификат извлекается из PEM-файла или базы NSS и повторно проверяется. Это используется в случае, если сведения certmonger устарели по сравнению с сертификатом, находящимся на диске.
Если файл сертификата не может быть открыт:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertfileExpirationCheck", "result": "ERROR", "kw": { "key": 1234, "certfile": "/path/to/cert.pem", "error": [error], "msg": "Unable to open cert file '/path/to/cert.pem': [error]" } }Если FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-база не может быть открыта:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertfileExpirationCheck", "result": "ERROR", "kw": { "key": 1234, "dbdir": "/path/to/nssdb", "error": [error], "msg": "Unable to open NSS database '/path/to/nssdb': [error]" } }Если отслеживаемый никнейм не найден в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базе:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertfileExpirationCheck", "result": "ERROR", "kw": { "key": 1234, "dbdir": "/path/to/nssdb", "nickname": [nickname], "error": [error], "msg": "Unable to retrieve cert '[nickname]' from '/path/to/nssdb': [error]" } }Истекший сертификат:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertfileExpirationCheck", "result": "ERROR", "kw": { "key": 1234, "expiration_date", "20160101001704Z", "msg": "Request id 1234 expired on 20160101001704Z" } }Сертификат, истекающий скоро:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertfileExpirationCheck", "result": "WARNING", "kw": { "key": 1234, "expiration_date", "20160101001704Z", "days": 9, "msg": "Request id 1234 expires in 9 days" } }IPACAChainExpirationCheck
Загружает цепочку сертификатов из файла /etc/ipa/ca.crt и проверяет срок действия каждого сертификата в цепочке. Это тест, предназначенный для подтверждения валидности всей цепочки доверия (включая случаи, когда сертификаты веб-сервера или LDAP были заменены, а цепочка находится в /etc/ipa/ca.crt).
Сертификат, истекающий скоро:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACAChainExpirationCheck", "result": "WARNING", "kw": { "path": "/etc/ipa/ca.crt", "key": "CN=Certificate Authority,O=EXAMPLE.TEST", "days": 2, "msg": "CA '{key}' is expiring in {days} days." } }Истекший сертификат:
Блок кода { "source": "ipahealthcheck.ipa.certs", "check": "IPACAChainExpirationCheck", "result": "WARNING", "kw": { "path": "/etc/ipa/ca.crt", "key": "CN=Certificate Authority,O=EXAMPLE.TEST", "days": 2, "msg": "CA '{key}' is expiring in {days} days." } }IPACertTracking
Сравнивает информацию отслеживания (tracking) сертификатов, полученную от certmonger, с ожидаемыми значениями. Результат показывает ошибку, если какая-либо часть отслеживания отсутствует или отличается от ожидаемой.
Если отслеживание отсутствует:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertTracking", "result": "ERROR", "kw": { "key": "cert-file=/var/lib/ipa/ra-agent.pem, key-file=/var/lib/ipa/ra-agent.key, ca-name=dogtag-ipa-ca-renew-agent, cert-storage=FILE, cert-presave-command=/usr/libexec/ipa/certmonger/renew_ra_cert_pre, cert-postsave-command=/usr/libexec/ipa/certmonger/renew_ra_cert" "msg": "Missing tracking for cert-file=/var/lib/ipa/ra-agent.pem, key-file=/var/lib/ipa/ra-agent.key, ca-name=dogtag-ipa-ca-renew-agent, cert-storage=FILE, cert-presave-command=/usr/libexec/ipa/certmonger/renew_ra_cert_pre, cert-postsave-command=/usr/libexec/ipa/certmonger/renew_ra_cert" } }Если отслеживается неизвестный сертификат:
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertTracking", "result": "WARNING", "kw": { "key": 1234, "msg": "Unknown certmonger id 1234' } }IPACertNSSTrust
Сравнивает настройки доверия для сертификатов, хранящихся в NSS-базе, с известным корректным состоянием.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertNSSTrust", "result": "ERROR", "kw": { "key": "auditSigningCert cert-pki-ca", "expected": "u,u,Pu", "got": "u,u,u", "nickname": "auditSigningCert cert-pki-ca", "dbdir": "/etc/pki/pki-tomcat/alias", "msg": "Incorrect NSS trust for auditSigningCert cert-pki-ca. Got u,u,u expected u,u,Pu" } }IPACertMatchCheck
Удостоверяется, что записи сертификата CA в LDAP совпадают с данными, полученными из NSS-базы (или файла).
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertMatchCheck", "result": "ERROR", "kw": { "msg": "CA Certificate from /etc/ipa/nssdb does not match /etc/ipa/ca.crt" } }IPADogtagCertsMatchCheck
Проверяет, совпадают ли сертификаты DogTag, присутствующие как в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базе, так и в LDAP.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPADogtagCertsMatchCheck", "result": "ERROR", "kw": { "msg": "'subsystemCert cert-pki-ca' certificate in NSS DB does not match entry in LDAP" } }IPANSSChainValidation
Проверяет цепочку сертификатов, полученных из FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базы. Выполняется команда
certutil -V -u V -e -d [dbdir] -n [nickname].Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPANSSChainValidation", "result": "ERROR", "kw": { "key": "/etc/dirsrv/slapd-EXAMPLE-TEST:Server-Cert", "nickname": "Server-Cert", "dbdir": [path to NSS database], "reason": "certutil: certificate is invalid: Peer's Certificate issuer is not recognized.\n: ", "msg": ""Validation of Server-Cert in /etc/dirsrv/slapd-EXAMPLE-TEST/ failed: certutil: certificate is invalid: Peer's Certificate issuer is not recognized.\n " } }IPAOpenSSLChainValidation
Проверяет цепочку сертификатов для файлов OpenSSL. Выполняется команда
openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt /path/to/cert.pem.Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPAOpenSSLChainValidation", "result": "ERROR", "kw": { "key": "/var/lib/ipa/ra-agent.pem", "reason": "O = EXAMPLE.TEST, CN = IPA RA\nerror 20 at 0 depth lookup: unable to get local issuer certificate\n", "msg": "Certificate validation for /var/lib/ipa/ra-agent.pem failed: O = EXAMPLE.TEST, CN = IPA RA\nerror 20 at 0 depth lookup: unable to get local issuer certificate\n" } }IPARAAgent
Проверяет соответствие описания и значения атрибута userCertificate для RA-агента в LDAP.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPARAAgent", "result": "ERROR", "kw": { "expected": "2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST", "got": "2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST", "msg": "RA agent description does not match. Found 2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST in LDAP and expected 2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST" } }IPAKRAAgent
Проверяет соответствие описания и значения атрибута userCertificate для KRA-агента в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPAKRAAgent", "result": "ERROR", "kw": { "expected": "2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST", "got": "2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST", "msg": "KRA agent description does not match. Found 2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST in LDAP and expected 2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST" } }IPACertRevocation
Подтверждает, что сертификаты IPA не отозваны, используя отслеживание certmonger для определения списка сертификатов, подлежащих проверке.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertRevocation", "result": "ERROR", "kw": { "key": 1234, "revocation_reason": "superseded", "msg": "Certificate is revoked, superseded" } }IPACertmongerCA
Проверяет корректность конфигурации CA в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], анализируя настройки dogtag-ipa-ca-renew-agent и dogtag-ipa-ca-renew-agent-reuse.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertmongerCA", "result": "ERROR", "kw": { "key": "dogtag-ipa-ca-renew-agent", "msg": "Certmonger CA 'dogtag-ipa-ca-renew-agent' missing" } }IPACertDNSSAN
Проверяет, что во всех действующих заявках certmonger на серверные сертификаты профиля caIPAserviceCert для CA присутствует DNS‑Subject Alt Name, совпадающий с FQDN текущего хоста.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "IPACertDNSSAN", "result": "ERROR", "uuid": "431c42c0-9396-4593-ad2b-09b40298ba1f", "when": "20240416115958Z", "duration": "0.904624", "kw": { "key": "20240318110910", "hostname": "ipa-ca.example.com", "san": [ "ipa02.example.com" ], "ca": "IPA", "profile": "caIPAserviceCert", "msg": "Certificate request id {key} with profile {profile} for CA {ca} does not have a DNS SAN {san} matching name {hostname}" } }CertmongerStuckCheck
Ищет заявки certmonger, у которых статус stuck = true, и оповещает об «застрявших» запросах.
Блок кода title json { "source": "ipahealthcheck.ipa.certs", "check": "CertmongerStuckCheck", "result": "WARNING", "uuid": "d32781d5-09e7-4d52-89f1-57eca541e9e4", "when": "20230407120255Z", "duration": "0.019584", "kw": { "key": "20230407091205", "msg": "certmonger request {key} is in the stuck state" } }
...
- ipahealthcheck.ipa.proxy
Контролирует настройки IPA Proxy, включая проверку корректности секретного ключа, используемого для безопасной коммуникации.Раскрыть title Проверки в источнике ipahealthcheck.ipa.proxy IPAProxySecretCheck
Проверяет, что секреты AJP FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-коннектора Tomcat совпадают со значениями из ProxyPassMatch в конфиге Apache (ipa-pki-proxy.conf), и что между secret и requiredSecret нет противоречий.
Блок кода title json { "source": "ipahealthcheck.ipa.proxy", "check": "IPAProxySecretCheck", "result": "CRITICAL", "uuid": "6820b5b3-08a9-4632-a834-a71d1ae0d84b", "when": "20220708144958Z", "duration": "0.000894", "kw": { "key": "proxy_secrets", "proxy_conf": "/etc/apache2/conf-enabled/ipa-pki-proxy.conf", "msg": "No ProxyPassMatch secrets found in {proxy_conf}" } }
- ipahealthcheck.ipa.roles
Выполняет проверки, связанные с ролями сервера в инфраструктуре FreeIPA — определяет, является ли сервер мастером обновления сертификатов, CRL-менеджером, и проверяет связанные с этим параметры.Раскрыть title Проверки в источнике ipahealthcheck.ipa.roles IPACRLManagerCheck
IPARenewalMasterCheck
Набор информационных проверок для определения, является ли текущий мастер генератором CRL и/или мастером обновления.
Блок кода title json { "source": "ipahealthcheck.ipa.roles", "check": "IPACRLManagerCheck", "result": "SUCCESS", "kw": { "key": "crl_manager", "crlgen_enabled": true } } { "source": "ipahealthcheck.ipa.roles", "check": "IPARenewalMasterCheck", "result": "SUCCESS", "kw": { "key": "renewal_master", "master": true } }IPARenewalMasterHasKRACheck
Определяет, является ли текущий узел сервером обновления сертификатов CA и проверяет, установлена ли на нём служба KRA FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].
Блок кода title json { "source": "ipahealthcheck.ipa.roles", "check": "IPARenewalMasterHasKRACheck", "result": "CRITICAL", "uuid": "3f2d4a6b-7c8e-4d9f-8b2a-1e5f6c7d8e9f", "when": "20250422091500Z", "duration": "0.023456", "kw": { "key": "kra_renewal_master", "msg": "There are KRA(s) in the topology but not on the renewal server. The KRA service certificates will not be renewed." } }
- ipahealthcheck.ipa.topology
Проводит проверки топологии репликации и сетевой конфигурации, убеждаясь, что все серверы правильно настроены и данные синхронизируются корректно.Раскрыть title Проверки в источнике ipahealthcheck.ipa.topology Проверки топологии для проверки соответствия как рекомендациям, так и выявления ошибок.
IPATopologyDomainCheck
Предоставляет эквивалент команды: ipa topologysuffix-verify
При сбое возвращает обнаруженные ошибки, такие как ошибки подключения или слишком большое количество репликационных соглашений.
При успешном выполнении возвращаются настроенные домены.
Блок кода title json { "source": "ipahealthcheck.ipa.topology", "check": "IPATopologyDomainCheck", "result": "SUCCESS", "kw": { "suffix": "domain" } }, { "source": "ipahealthcheck.ipa.topology", "check": "IPATopologyDomainCheck", "result": "SUCCESS", "kw": { "suffix": "ca" } }
- ipahealthcheck.ipa.trust
Отвечает за диагностику доверительных отношений (trust) с AD FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], проверяя настройки trust-агентов, списки доверенных доменов, корректность конфигураций principal, членство в группах и наличие необходимых пакетов.Раскрыть title Проверки в источнике ipahealthcheck.ipa.trust Проверка общих проблем конфигурации доверительных отношений AD FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].
Проверки вернут статус SUCCESS, если система не настроена как агент доверия или контроллер.IPATrustAgentCheck
Проверка конфигурации sssd, когда машина настроена в качестве агента доверия.
Параметр provider должен иметь значение ipa, а ipa_server_mode – быть установлен в true.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustAgentCheck", "severity": ERROR, "kw": { "key": "ipa_server_mode_false", "attr": "ipa_server_mode", "sssd_config": "/etc/sssd/sssd.conf", "domain": "ipa.example.com", "msg": "{attr} is not True in {sssd_config} in the domain {domain}" } }IPATrustDomainsCheck
Проверяет, что домен IPA присутствует в выводе команды
sssctl domain-list, а домены доверия совпадают с доменами, указанными в sssdSSSD.Если списки доменов не совпадают:
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustDomainsCheck", "result": "ERROR", "kw": { "key": "domain-list", "sslctl": "/usr/sbin/sssctl", "sssd_domains": "ad.vm", "trust_domains": "", "msg": "{sslctl} {key} reports mismatch: sssd domains {sssd_domains} trust domains {trust_domains}" } }IPATrustCatalogCheck
Проверка, разрешающая имя пользователя AD FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], например, Administrator@REALM. Эта операция заполняет значения глобального каталога AD и контроллера домена AD в выводе команды
sssctl domain-status.Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustCatalogCheck", "result": "ERROR", "kw": { "key": "AD Global Catalog", "output": "Active servers:\nAD Domain Controller: root-dc.ad.vm\nIPA: ipa.example.com", "sssctl": "/usr/sbin/sssctl", "domain": "ad.vm", "msg": "{key} not found in {sssctl} 'domain-status' output: {output}" } }IPAsidgenpluginCheck
Проверяет, что плагин sidgen включен в экземпляре IPA 389-ds.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPAsidgenpluginCheck", "result": "ERROR", "kw": { "key": "IPA SIDGEN", "error": "no such entry", "msg": "Error retrieving 389-ds plugin {key}: {error}" } }IPATrustAgentMemberCheck
Проверяет, что текущий хост является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustAgentMemberCheck", "result": "ERROR", "kw": { "key": "ipa.example.com", "group": "adtrust agents", "msg": "{key} не является членом {group}" } }IPATrustControllerPrincipalCheck
Проверяет, что основной cifs-принципал текущего хоста является членом группы cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerPrincipalCheck", "result": "ERROR", "kw": { "key": "cifs/ipa.example.com@EXAMPLE.COM", "group": "adtrust agents", "msg": "{key} is not a member of {group}" } }IPATrustControllerServiceCheck
Проверяет, что на текущем хосте запущена служба ADTRUST в рамках ipactl.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerServiceCheck", "result": "ERROR", "kw": { "key": "ADTRUST", "msg": "{key} service is not enabled" } }IPATrustControllerConfCheck
Проверяет, что для backend passdb в выводе команды
net conf listвключён ldapi.Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerConfCheck", "result": "ERROR", "kw": { "key": "net conf list", "got": "", "expected": "ipasam:ldapi://%2fvar%2frun%2fslapd-EXAMPLE-COM.socket", "option": "passdb backend", "msg": "{key} option {option} value {got} doesn't match expected value {expected}" } }IPATrustControllerGroupSIDCheck
Проверяет, что SID группы администраторов заканчивается на 512 (RID для Domain Admins).
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerGroupSIDCheck", "result": "ERROR", "kw": { "key": "ipantsecurityidentifier", "rid": "S-1-5-21-1078564529-1875285547-1976041503-513", "msg": "{key} is not a Domain Admins RID" } }IPATrustPackageCheck
Если система не является контроллером доверия и доверительные отношения AD включены, проверяется наличие установленного пакета trust‑ad.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustPackageCheck", "result": "WARNING", "kw": { "key": "adtrustpackage", "msg": "trust-ad sub-package is not installed. Administration will be limited." } }IPADomainCheck
Проверяет, что провайдер домена IPA в SSSD настроен на использование «ipa»: читает секцию домена для текущего IPA‑домена текущего FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑домена в файле /etc/sssd/sssd.conf, убеждается, что в ней присутствуют опции id_provider, auth_provider, chpass_provider и access_provider, и что их значение равно
"ipa"; в противном случае возвращает ERROR, а при успешной проверке — SUCCESS.Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPADomainCheck", "result": "SUCCESS", "uuid": "a1b2c3d4-e5f6-7a8b-9c0d-1e2f3a4b5c6d", "when": "20220427190310Z", "duration": "0.012345", "kw": { "key": "domain-check" } }IPATrustControllerAdminSIDCheck
Проверяет, что SID учётной записи admin в доверенном контроллере завершается на 500: выполняет LDAP‑запрос FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑запрос к записи uid=admin, атрибуту ipantsecurityidentifier, и возвращает ERROR, если идентификатор отсутствует или не оканчивается на 500 (с ключом ipantsecurityidentifier и полем rid), иначе — SUCCESS.
Блок кода title json { "source": "ipahealthcheck.ipa.trust", "check": "IPATrustControllerAdminSIDCheck", "result": "ERROR", "uuid": "d4e5f6a7-8b9c-0d1e-2f3a-4b5c6d7e8f90", "when": "20250422101530Z", "duration": "0.018234", "kw": { "key": "ipantsecurityidentifier", "rid": "S-1-5-21-123456789-123456789-123456789-501", "msg": "ipantsecurityidentifier is not a Domain Admin RID" } }
- ipahealthcheck.meta.core
Собирает основную информацию о FreeIPA-сервере, которая используется для формирования общего отчёта о состоянии системы.Раскрыть title Проверки в источнике ipahealthcheck.meta.core MetaCheck
Предоставляет базовую информацию о самом IPA FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-мастере. Вывод включает FQDN и версию IPA FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].
Блок кода title json { "source": "ipahealthcheck.meta.core", "check": "MetaCheck", "result": "SUCCESS", "kw": { "fqdn": "ipa.example.test", "ipa_version": "4.8.0", "ipa_api_version": "2.233" } }
- ipahealthcheck.meta.services
Контролирует состояние основных служб FreeIPA (таких как certmonger, dirsrv, httpd, sssd и др.) и сигнализирует о сбоях или остановке их работы.Раскрыть title Проверки в источнике ipahealthcheck.meta.services Возвращает статус состояния необходимых IPA FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-служб
Следующие службы отслеживаются:
- certmonger
- dirsrv
- gssproxy
- httpd
- ipa_custodia
- ipa_otpd
- kadmin
- krb5kdc
- named
- ods_enforcerd
- ipa_ods_exporter
- ipa_dnskeysyncd
- pki_tomcatd
- sssd
- chronyd
- smb
- winbind
Значение поля check соответствует имени IPA FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-сервиса. Обратите внимание, что в именах службы дефисы заменяются на символы подчеркивания.
Пример остановленного сервиса:
Блок кода title json { "source": "ipahealthcheck.meta.services", "check": "httpd", "result": "ERROR", "kw": { "status": false, "msg": "httpd: not running" } }
- ipahealthcheck.system.filesystemspace
Анализирует свободное место на дисковых разделах, ключевых для работы системы FreeIPA, предупреждая о риске нехватки пространства, что может привести к проблемам с логированием и выполнением резервного копирования.Раскрыть title Проверки в источнике ipahealthcheck.system.filesystemspace Проверка доступного дискового пространства.
Низкий уровень свободного места может вызвать проблемы с логированием, выполнением операций и резервным копированием.FileSystemSpaceCheck
Проверяются как процентное, так и абсолютное минимальное значение свободного места. В зависимости от точек монтирования возможно некоторое пересечение проверок. Минимальное свободное пространство составляет 20 % 20% и в настоящее время задано жёстко.
Проверяются следующие пути:
/var/lib/dirsrv/ – 1024 МБ свободного места
/var/lib/ipa/backup/ – 512 МБ свободного места
/var/log/ – 1024 МБ свободного места
/var/log/audit/ – 512 МБ свободного места
/var/tmp/ – 512 МБ свободного места
/tmp/ – 512 МБ свободного места
Например, полностью заполненный /tmp/ будет отображаться следующим образом:
Блок кода title json { "source": "ipahealthcheck.system.filesystemspace", "check": "FileSystemSpaceCheck", "result": "ERROR", "kw": { "msg": "/tmp: free space percentage under threshold: 0% < 20%", "store": "/tmp", "percent_free": 0, "threshold": 20 } }, { "source": "ipahealthcheck.system.filesystemspace", "check": "FileSystemSpaceCheck", "result": "ERROR", "kw": { "msg": "/tmp: free space under threshold: 0 MiB < 512 MiB", "store": "/tmp", "free_space": 0, "threshold": 512 } }
...
Любой из источников и/или проверок может быть указан в виде аргументов для запуска из командной строки и/или при использовании файла конфигурации. См. Конфигурация и интеграция