История страницы

...

Информация

title	Терминология

В таблице перечислены все специальные термины и аббревиатуры, применяемые в статье, с их пояснениями.

Термин Пояснение

Источник (source)

Модуль или пространство имён для сбора данных (например, ipahealthcheck.ipa.certs). Полный список источников см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.

Проверка (check)

Конкретная проверка в рамках источника (например, IPADNSSystemRecordsCheck). Полный список проверок см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.

Якорь

	CLI
	CLI

CLI

Аббревиатура от Command Line Interface.
Текстовый интерфейс для взаимодействия с операционной системой или программой через ввод команд в консоли, без использования графических элементов.

Якорь

	CS
	CS

CS

Аббревиатура от Certificate System.
В контексте DogTag это подсистема, отвечающая за работу центра сертификации и связанных сервисов.

Якорь

	CA
	CA

CA

Аббревиатура от Certificate Authority.
В контексте DogTag это подсистема, отвечающая за выпуск, подпись и отзыв цифровых сертификатов, а также публикацию списков отозванных сертификатов (CRL) и работу OCSP-ответчика.

Якорь

	CRL
	CRL

CRL

Аббревиатура от Certificate Revocation List.
Периодически публикуемый центром сертификации (CA) файл, содержащий список отозванных цифровых сертификатов, срок доверия к которым прекращён.

Якорь

	CA
	CA

KRA

Аббревиатура от Key Recovery Authority.
В контекстеDogTag это подсистема, обеспечивающая архивирование и восстановление закрытых ключей пользователей: при запросе сертификата приватный ключ шифруется и сохраняется в KRA, что позволяет восстановить доступ к данным, если оригинальный ключ утерян.

Якорь

	DSLE
	DSLE

DSBLE, DSCLE, DSDSLE и т.д.

Аббревиатуры от Directory Server <сокращенное название проверки> Lint Error.
Это специальный тип ошибки, который используется в механизме проверок 389-DS для описания несоответствий конфигурации и ACI (Access Control Instructions) в LDAP-сервере. Он возникает при выполнении команды dsctl <instance> healthcheck, служит для структурированного представления найденных проблем (код ошибки, уровень серьёзности, описание и контекст) для последующего ручного или автоматического их устранения.

Якорь

	CScfg
	CScfg

CS.cfg

Главный файл конфигурации подсистемы DogTag CS.
Создается при инициализации контроллера ЕПП FreeIPA с центром сертификации DogTag (см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Common Edition).

В DogTag подсистемы запускаются независимо, каждая со своим CS.cfg:

/etc/pki/pki-tomcat/ca/CS.cfg настраивает CA,
/etc/pki/pki-tomcat/kra/CS.cfg настраивает KRA.

Якорь

	DNS
	DNS

DNS

Аббревиатура от Domain Name System.
Иерархическая распределённая система, преобразующая доменные имена в IP-адреса и обратно в Интернете.

Якорь

	LDAP
	LDAP

LDAP

Аббревиатура от Lightweight Directory Access Protocol.
Протокол прикладного уровня для доступа и управления распределённой каталоговой службой, широко используется для хранения и поиска информации об учётных записях, группах и политиках в сетях.

Якорь

	NSS
	NSS

NSS

Аббревиатура от Network Security Services.
Набор библиотек защитного преобразования, используемых приложениями и сервисами для работы с сертификатами, ключами и безопасными соединениями.

Якорь

	DS
	DS

DS

Аббревиатура от Directory Server
LDAP-сервер, реализованный на основе проекта 389 Directory Server, обеспечивающий хранение, поиск и модификацию данных каталоговой службы (учётные записи, группы, политики).

Якорь

	RUV
	RUV

RUV

Аббревиатура от Replica Update Vector.
Набор счётчиков состояния репликации в DS, хранящийся на каждом узле; позволяет определить, какие изменения между всеми участниками топологии уже переданы, а какие ещё нужно синхронизировать.

Якорь

	SSL
	SSL

Якорь

	TLS
	TLS

TLS/SSL

Аббревиатура от Transport Layer Security (TLS) и Secure Sockets Layer (SSL).
Протоколы, обеспечивающие защитное преобразование и аутентификацию сетевых соединений в интернете и приложениях.

Якорь

	certmonger
	certmonger

certmonger

Служба для автоматического управления жизненным циклом сертификатов: генерирует запросы, отслеживает их, обновляет истекающие сертификаты и взаимодействует с центром сертификации для их продления.

Якорь

	FQDN
	FQDN

FQDN

Аббревиатура от Fully Qualified Domain Name.
Полное доменное имя узла, включающее все уровни DNS-иерархии (например, host.example.com).

Якорь

	KDC
	KDC

KDC

Аббревиатура от Key Distribution Center.
Компонент Kerberos, отвечающий за аутентификацию клиентов и выдачу Ticket Granting Tickets и сервисных билетов (TGS)

Якорь

	TGT
	TGT

TGT

Аббревиатура от Ticket Granting Ticket.
В Kerberos-системе билет, выдаваемый KDC после аутентификации, позволяющий без повторного ввода пароля запрашивать сервисные билеты.

Якорь

	DNA
	DNA

DNA

Аббревиатура от Distributed Numeric Assignment.
Плагин 389 Directory Server, который автоматически распределяет диапазоны POSIX UID/GID между серверами — выделяет каждому мастеру и реплике поддиапазон из общего пространства идентификаторов, обеспечивая их уникальность и отказоустойчивость при создании новых учётных записей и групп

Якорь

	keytab
	keytab

keytab

Файл “key table” Kerberos, хранящий длинно-срочные ключи одного или нескольких принципалов. Используется сервисами для автоматической аутентификации без ввода пароля.

Якорь

	AJP
	AJP

AJP

Аббревиатура от Apache JServ Protocol.
Бинарный сетевой протокол для проксирования HTTP-запросов от веб-сервера к серверу приложений (например, Tomcat).

Якорь

	ТР
	ТР

Топология репликации

Схема взаимосвязей и соглашений репликации между IPA-серверами.

Якорь

	AD
	AD

AD

Аббревиатура от Active Directory.
Cлужба каталогов Microsoft для управления объектами Windows-домена (пользователи, компьютеры, политики). Использует LDAP, Kerberos и DNS для централизованной аутентификации и авторизации.

Якорь

	RID
	RID

Якорь

	SID
	SID

RID/SID

RID (Аббревиатура от Relative Identifier)
Относительный идентификатор, присваиваемый объектам при создании и становящийся частью SID.

SID (Аббревиатура от Security Identifier)
Уникальный идентификатор безопасности в Windows AD, состоящий из доменного S-идентификатора и RID

Якорь

	IPA
	IPA

IPA

Аббревиатура от Identity, Policy, Audit.
Интегрированное решение для централизованного управления удостоверениями, политиками аутентификации и аудита на Linux/UNIX. Основано на LDAP, Kerberos, Dogtag и BIND.

...

ipahealthcheck.ds.backends
Контролирует работоспособность backend‑модулей, которые отвечают за хранение данных (например, в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑хранилище)

Раскрыть

title	Проверки в источнике ipahealthcheck.ds.backends

BackendsCheck

Выполняет автоматическую lint‑проверку Выполняет проверку настройки backend‑инстанций DS и генерирующий DSBLE‑коды DSBLE‑коды при обнаружении нарушений конфигурации или работы базы данных.

Блок кода

title	json

{
  "source": "ipahealthcheck.ds.backends",
  "check": "BackendsCheck",
  "result": "WARNING",
  "uuid": "875db8e3-029c-46f7-87e5-bf9a216d9637",
  "when": "20240426184431Z",
  "duration": "0.031642",
  "kw": {
    "key": "DSBLE0005",
    "items": [
      "nsslapd-dbcachesize",
      "nsslapd-db-logdirectory",
      "nsslapd-db-transaction-wait",
      "nsslapd-db-checkpoint-interval",
      "nsslapd-db-compactdb-interval",
      "nsslapd-db-compactdb-time",
      "nsslapd-db-transaction-batch-val",
      "nsslapd-db-transaction-batch-min-wait",
      "nsslapd-db-transaction-batch-max-wait",
      "nsslapd-db-logbuf-size",
      "nsslapd-db-page-size",
      "nsslapd-db-locks",
      "nsslapd-db-locks-monitoring-enabled",
      "nsslapd-db-locks-monitoring-threshold",
      "nsslapd-db-locks-monitoring-pause",
      "nsslapd-db-private-import-mem",
      "nsslapd-db-deadlock-policy"
    ],
    "msg": "Found configuration attributes that are not applicable for the configured backend type."
}

ipahealthcheck.ds.config
Проводит анализ конфигурационных настроек FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑сервера и сопутствующих компонентов, чтобы удостовериться, что все параметры установлены корректно.

Раскрыть

title	Проверки в источнике ipahealthcheck.ds.config

ConfigCheck

Выполняет автоматическую lint‑проверку конфигурации проверку конфигурации FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]. Ищет устаревшие, отсутствующие или некорректные параметры (например, небезопасные схемы хранения пароля, неподходящие диапазоны значений, дублирование опций), преобразуя результаты в стандартизированные DSBLE/DSCLE‑кодыстандартизированные DSCLE‑коды

Блок кода

title	json

{
  "source": "ipahealthcheck.ds.config",
  "check": "ConfigCheck",
  "result": "CRITICAL",
  "uuid": "52ce6b03-5f42-4565-9e04-59f15136ff95",
  "when": "20250421043110Z",
  "duration": "0.027578",
  "kw": {
    "key": "DSCLE0002",
    "items": [
      "cn=config"
    ],
    "msg": "Password storage schemes in Directory Server define how passwords are hashed via a\none-way mathematical function for storage. Knowing the hash it is difficult to gain\nthe input, but knowing the input you can easily compare the hash.\n\nMany hashes are well known for cryptograhpic verification properties, but are\ndesigned to be *fast* to validate. This is the opposite of what we desire for password\nstorage. In the unlikely event of a disclosure, you want hashes to be *difficult* to\nverify, as this adds a cost of work to an attacker.\n\nIn Directory Server, we offer one hash suitable for this (PBKDF2-SHA512) and one hash\nfor \"legacy\" support (SSHA512).\n\nYour configuration does not use these for password storage or the root password storage\nscheme.\n"
  }
}

...

ipahealthcheck.ds.fs_checks
Выполняет проверку прав доступа к ключевым файлам FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].

Раскрыть

title	Проверки в источнике ipahealthcheck.ds.fs_checks

FSCheck

Проверяет права доступа к ключевым файлам FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]: /etc/resolv.conf (должно быть 0644) и файлам pin.txt / pwdfile.txt в каталоге сертификатов FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК] (должны быть 0400 или 0600); при несоответствии формирует отчёты DSPERMLE0001 или DSPERMLE0002 соответственно.

Блок кода

title	json

{
  "source": "ipahealthcheck.ds.fs_checks",
  "check": "FSCheck",
  "result": "ERROR",
  "uuid": "e45bb50a-39b1-4b32-bb2f-38ca6523dbc0",
  "when": "20250422155540Z",
  "duration": "0.024143",
  "kw": {
    "key": "DSPERMLE0001",
    "items": [
      "File Permissions",
      "/etc/resolv.conf"
    ],
    "msg": "The file \"/etc/resolv.conf\" does not have the expected permissions (644).  This\ncan cause issues with replication and chaining."
  }
}

ipahealthcheck.ds.nss_ssl
Проверяет сертификаты FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑базы экземпляра DS.

Раскрыть

title	Проверки в источнике ipahealthcheck.ds.nss_ssl

NssCheck

Проверяет FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑базу экземпляра DS: ищет сертификаты, срок действия которых истекает менее чем через 30 дней (код DSCERTLE0001, результат ERROR) или которые уже просрочены (код DSCERTLE0002, результат CRITICAL)

Блок кода

title	json

{
  "source": "ipahealthcheck.ds.nss_ssl",
  "check":  "NssCheck",
  "result": "ERROR",
  "uuid":   "1a2798fd-7fa5-4132-a288-7975f2c32b60",
  "when":   "20200813211503Z",
  "duration": "0.000150",
  "kw": {
    "key":   "DSCERTLE0001",
    "items": [
	   "Expiring Certificate"
	],
    "msg": "The certificate (Server-Cert) will expire in less than 30 days"
  }
}

...

ipahealthcheck.ds.replication
Контролирует репликацию данных между серверами, проверяя синхронизацию данных и анализируя журналы изменений.

Раскрыть

title	Проверки в источнике ipahealthcheck.ds.replication

ReplicationCheck

Проверяет все объекты nsDS5ReplicationAgreement во всех репликационных репозиториях FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]: убеждается, что состояние соглашения (nsds5replicaEnabled=on, nsds5replicaLastUpdateStatus=0) и канал связи к удалённому хосту исправны, что счётчик отставания (FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]) синхронизирован и нет поломанных либо отключённых соглашений. Также проверяет репликацию на конфликты.

Блок кода

title	json

{
  "source": "ipahealthcheck.ds.replication",
  "check": "ReplicationCheck",
  "result": "CRITICAL",
  "uuid": "4e0472b9-bc3a-495e-a15a-55c5788e665d",
  "when": "20250422165825Z",
  "duration": "0.204692",
  "kw": {
    "key": "DSREPLLE0001",
    "items": [
      "Replication",
      "Agreement"
    ],
    "msg": "The replication agreement (metoipacln.testdomain.test) under \"dc=testdomain,dc=test\" is not in synchronization."
  }
}

ReplicationChangelogCheck

Проверяет, что у журнала репликации cn=changelog5,cn=config включен trimming (задан хотя бы один из параметров nsslapd‑changelogmaxage, nsslapd‑changelogmaxentries или nsslapd‑changelogtrim‑interval); при отсутствии trimming выдаёт отчёт DSCLLE0001.

Блок кода

title	json

{
  "source": "ipahealthcheck.ds.replication",
  "check":  "ReplicationChangelogCheck",
  "result": "WARNING",                 
  "uuid":   "c7f7a268-2c1b-4d7b-9e5a-6133ff4b0c1e",
  "when":   "20250422T103259Z",        
  "duration": "0.000214",
  "kw": {
    "key":   "DSCLLE0001",
    "items": [
	  "cn=changelog5,
       cn=config"
    ],
    "msg": "The replication changelog does not have any kind of trimming configured. "
           "This will cause the changelog to grow indefinitely, potentially exhausting disk space. "
  }
}

...

Дерево страниц

Сравнение версий

Старая версия 81

Новая версия 82

Ключ