Справочный центр

Дерево страниц

Сравнение версий

Старая версия 98

changes.mady.by.user Александр Сабиров

Сохранено

по сравнению с

Новая версия 99

changes.mady.by.user Александр Сабиров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

ТерминПояснение
Источник (source)

Модуль или пространство имён для сбора данных (например, ipahealthcheck.ipa.certs). Полный список источников см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.

Проверка (check)

Конкретная проверка в рамках источника (например, IPADNSSystemRecordsCheck). Полный список проверок см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.

Якорь
CLI
CLI

CLI

Аббревиатура от Command Line Interface.
Текстовый интерфейс для взаимодействия с операционной системой или программой через ввод команд в консоли, без использования графических элементов.

Якорь
DT
DT
DogTag

Сокращенное название проекта Dogtag Certificate System
Встроенный центр сертификации контроллеров FreeIPA . Не (см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Common Edition). Не входит в состав основного репозитория Astra Linux Special Edition.

Якорь
CS
CS
CS

Аббревиатура от Certificate System.
В контексте DogTag это подсистема, отвечающая за работу центра сертификации и связанных сервисов.

Якорь
CA
CA
CA

Аббревиатура от Certificate Authority.
В контекстеDogTag это подсистема, отвечающая за выпуск, подпись и отзыв цифровых сертификатов, а также публикацию списков отозванных сертификатов (CRL) и работу OCSP-ответчика.

Якорь
CRL
CRL
CRL

Аббревиатура от Certificate Revocation List.
Периодически публикуемый центром сертификации (CA) файл, содержащий список отозванных цифровых сертификатов, срок доверия к которым прекращён.

Якорь
CA
CA
KRA

Аббревиатура от Key Recovery Authority.
В контекстеDogTag это подсистема, обеспечивающая архивирование и восстановление закрытых ключей пользователей: при запросе сертификата приватный ключ шифруется и сохраняется в KRA, что позволяет восстановить доступ к данным, если оригинальный ключ утерян.

Якорь
DSLE
DSLE
DSBLE, DSCLE, DSDSLE и т.д.

Аббревиатуры от Directory Server <сокращенное название проверки> Lint Error.
Это специальный тип ошибки, который используется в механизме проверок 389-DS для описания несоответствий конфигурации и ACI (Access Control Instructions) в LDAP-сервере. Он возникает при выполнении команды dsctl <instance> healthcheck, служит для структурированного представления найденных проблем (код ошибки, уровень серьёзности, описание и контекст) для последующего ручного или автоматического их устранения.

Якорь
CScfg
CScfg
CS.cfg

Главный файл конфигурации подсистемы DogTag CS.
Создается при инициализации контроллера ЕПП FreeIPA с центром сертификации DogTag (см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Common Edition).

В DogTag подсистемы запускаются независимо, каждая со своим CS.cfg:

  • /etc/pki/pki-tomcat/ca/CS.cfg настраивает CA,

  • /etc/pki/pki-tomcat/kra/CS.cfg настраивает KRA.

Якорь
DNS
DNS
DNS

Аббревиатура от Domain Name System.
Иерархическая распределённая система, преобразующая доменные имена в IP-адреса и обратно в Интернете.

Якорь
LDAP
LDAP
LDAP

Аббревиатура от Lightweight Directory Access Protocol.
Протокол прикладного уровня для доступа и управления распределённой каталоговой службой, широко используется для хранения и поиска информации об учётных записях, группах и политиках в сетях.

Якорь
NSS
NSS
NSS

Аббревиатура от Network Security Services.
Набор библиотек защитного преобразования, используемых приложениями и сервисами для работы с сертификатами, ключами и безопасными соединениями.

Якорь
DS
DS
DS

Аббревиатура от Directory Server
LDAP-сервер, реализованный на основе проекта 389 Directory Server, обеспечивающий хранение, поиск и модификацию данных каталоговой службы (учётные записи, группы, политики).

Якорь
RUV
RUV
RUV

Аббревиатура от Replica Update Vector.
Набор счётчиков состояния репликации в DS, хранящийся на каждом узле; позволяет определить, какие изменения между всеми участниками топологии уже переданы, а какие ещё нужно синхронизировать.

Якорь
SSL
SSL
Якорь
TLS
TLS
TLS/SSL

Аббревиатура от Transport Layer Security (TLS) и Secure Sockets Layer (SSL).
Протоколы, обеспечивающие защитное преобразование и аутентификацию сетевых соединений в интернете и приложениях.

Якорь
certmonger
certmonger
certmonger

Служба для автоматического управления жизненным циклом сертификатов: генерирует запросы, отслеживает их, обновляет истекающие сертификаты и взаимодействует с центром сертификации для их продления.

Якорь
ОСерт
ОСерт
Отслеживаемый сертификат

Информация
titleСправка

Команда getcert list опрашивает службу certmonger и выводит список сертификатов, которые он отслеживает (MONITORING) или по которым он пытается получить подписанный ответ от CA.

Сертификат, для которого служба certmonger ведёт слежение по его параметрам и состоянию. В выводе команды getcert list такие сертификаты имеют статус MONITORING, что указывает на активное наблюдение за их сроком действия.

При использовании DogTag (см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Common Edition) служба certmonger по умолчанию отслеживает все сертификаты, выданные центром сертификации DogTag и выполняет их продление за 28 дней до окончания срока действия.

Если DogTag не используется, то по умолчанию служба certmoner не отслеживает и не продлевает сертификаты. Для ручного добавления сертификата в отслеживаемые см. Порядок включения сертификатов в отслеживаемые.

Якорь
FQDN
FQDN
FQDN

Аббревиатура от Fully Qualified Domain Name.
Полное доменное имя узла, включающее все уровни DNS-иерархии (например, host.example.com).

Якорь
KDC
KDC
KDC

Аббревиатура от Key Distribution Center.
Компонент Kerberos, отвечающий за аутентификацию клиентов и выдачу Ticket Granting Tickets и сервисных билетов (TGS)

Якорь
TGT
TGT
TGT

Аббревиатура от Ticket Granting Ticket.
В Kerberos-системе билет, выдаваемый KDC после аутентификации, позволяющий без повторного ввода пароля запрашивать сервисные билеты.

Якорь
DNA
DNA
DNA

Аббревиатура от Distributed Numeric Assignment.
Плагин 389 Directory Server, который автоматически распределяет диапазоны POSIX UID/GID между серверами — выделяет каждому мастеру и реплике поддиапазон из общего пространства идентификаторов, обеспечивая их уникальность и отказоустойчивость при создании новых учётных записей и групп

Якорь
keytab
keytab
keytab

Файл “key table” Kerberos, хранящий длинно-срочные ключи одного или нескольких принципалов. Используется сервисами для автоматической аутентификации без ввода пароля.

Якорь
AJP
AJP
AJP

Аббревиатура от Apache JServ Protocol.
Бинарный сетевой протокол для проксирования HTTP-запросов от веб-сервера к серверу приложений (например, Tomcat).

Якорь
ТР
ТР
Топология репликации

Схема взаимосвязей и соглашений репликации между IPA-серверами.

Якорь
AD
AD
AD

Аббревиатура от Active Directory.
Cлужба каталогов Microsoft для управления объектами Windows-домена (пользователи, компьютеры, политики). Использует LDAP, Kerberos и DNS для централизованной аутентификации и авторизации.

Якорь
RID
RID
Якорь
SID
SID
RID/SID

RID (Аббревиатура от Relative Identifier)
Относительный идентификатор, присваиваемый объектам при создании и становящийся частью SID.

SID (Аббревиатура от Security Identifier)
Уникальный идентификатор безопасности в Windows AD, состоящий из доменного S-идентификатора и RID

Якорь
IPA
IPA
IPA

Аббревиатура от Identity, Policy, Audit.
Интегрированное решение для централизованного управления удостоверениями, политиками аутентификации и аудита на Linux/UNIX. Основано на LDAP, Kerberos, Dogtag и BIND.

...

Раскрыть
titleПодробное описание аргументов при запуске из командной строки...

Доступные параметры CLI

  • --list-sources:
    Выводит список доступных источников и входящих в них проверок, что помогает определить, какие группы тестов доступны в вашей установке.
  • --config=FILE:
    Задает файл конфигурации, который будет использоваться при запуске. Если указать пустую строку, то файл конфигурации не загружается. По умолчанию используется файл /etc/ipahealthcheck/ipahealthcheck.conf.
  • --source=SOURCE:
    Исполняет проверки только из указанного источника или пространства имен (например, ipahealthcheck.ipa.certs). Полный список источников см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.
  • --check=CHECK:
    Позволяет запустить конкретную проверку внутри выбранного источника, этот параметр используется совместно с --source (например, IPADNSSystemRecordsCheck). Полный список проверок см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.
  • --output-type=TYPE:
    Определяет формат вывода результатов. Допустимые значения:
    – json (по умолчанию, машиночитаемый формат),
    – human (удобочитаемый формат для пользователей),
    – prometheus (формат для экспозиции метрик Prometheus).
  • --failures-only:
    При активном использовании этого параметра в вывод будут включены только проверки, завершившиеся предупреждениями, ошибками или критическими сбоями (WARNING, ERROR, CRITICAL). Если вывод идёт в терминал, флаг включается автоматически; при выводе в файл — выключен
  • --all:
    Выводит все результаты проверок, независимо от их уровня. Этот параметр отменяет действие --failures-only.
  • --severity=SEVERITY:
    Позволяет фильтровать вывод по уровню серьезности, чтобы отображались только результаты с заданными уровнями. Допустимые значения:
    – SUCCESS (успешно),
    – WARNING (предупреждение),
    – ERROR (ошибка),
    – CRITICAL (критическая ошибка).
  • --verbose:
    Активирует подробное логирование для получения дополнительной информации о работе инструмента. Эта опция полезна для диагностики, однако при автоматических запусках она может создавать избыточный вывод.
  • --debug:
    Активирует режим отладки, при котором в выводе появляются дополнительные подробности, что полезно для диагностики проблем.
  • --output-file=FILENAME:
    Указывает путь к файлу, в который будет записываться вывод вместо стандартного вывода (stdout).
  • --input-file=FILENAME:
    Позволяет прочитать результаты предыдущего запуска (обычно в формате JSON) и отобразить их в другом формате или просто повторно показать сохранённые данные.
  • --indent=INDENT:
    При использовании JSON-вывода задаёт уровень отступов для форматирования результата.
  • --metric-prefix=PREFIX:
    При использовании формата вывода prometheus задает префикс, который будет добавляться к именам метрик.

...

При установке пакета создаются два системных юнита:

  • ipa-healthcheck.service - основной основная юнит-служба, который которая запускает инструмент ipa‑healthcheck, выполняет проверки состояния установки FreeIPA и формирует отчёт об обнаруженных проблемах.
  • ipa-healthcheck.timer - юнит-таймер, инициирующий запуск юнита-службы (ipa‑healthcheck.service) через заданные интервалы времени. Позволяет автоматизировать регулярное выполнение проверок для постоянного мониторинга системы.

...

  • ipahealthcheck.dogtag.ca
    Отвечает за диагностику служб центра сертификации DogTag (если DogTag используется). Диагностируются службы CA и FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].
    Раскрыть
    titleПроверки в источнике ipahealthcheck.dogtag.ca

    DogtagCertsConfigCheck

    Сравнивает значение сертификатов центра сертификации (а также FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], если установлен) с значением, найденным в файле CS.cfg. Если значения не совпадают, то, вероятно, CS не сможет запуститься.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.dogtag.ca",
  "check": "DogtagCertsConfigCheck",
  "result": "ERROR",
  "kw": {
    "key": "ocspSigningCert cert-pki-ca",
    "directive": "ca.ocsp_signing.cert",
    "configfile": "/var/lib/pki/pki-tomcat/conf/ca/CS.cfg",
    "msg": "Certificate 'ocspSigningCert cert-pki-ca' does not match the value of ca.ocsp_signing.cert in /var/lib/pki/pki-tomcat/conf/ca/CS.cfg"
    }
}

    DogtagCertsConnectivityCheck

    Информация
    titleСправка

    Команда ipa cert-show отображает полную информацию о сертификате из IPA-CA по его серийному номеру: метаданные и сам сертификат в PEM-формате.

    Выполняет эквивалент команды "ipa cert-show 1" для проверки базовой доступности.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.dogtag.ca",
  "check": "DogtagCertsConnectivityCheck",
  "result": "ERROR",
  "kw": {
    "msg": "Request for certificate failed, Certificate operation cannot be completed: Unable to communicate with CMS (503)"
  }
}

...

  • ipahealthcheck.ds.ruv
    Следит за корректностью записей FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], необходимых для правильной работы репликации.
    Раскрыть
    titleПроверки в источнике ipahealthcheck.ds.ruv

    RUVCheck

    Извлекает текущий (локальный) RUV для основного FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑суффикса и для суффикса Dogtag CA и возвращает их как единичные значения.

    Блок кода
    titlejson
    { 
  "source": "ipahealthcheck.ds.ruv",
  "check": "RUVCheck",
  "result": "SUCCESS",
  "uuid": "9875d929-c813-4a91-b757-57798fc5aaff",
  "when": "20250421034249Z",
  "duration": "0.002770",
  "kw": {
    "key": "dc=testdomain,dc=test",
    "ruv": "4"
  }
}

    KnownRUVCheck

    Сканирует записи из tombstone, содержащие атрибут nsds50ruv, извлекает из них все известные RUV для каждого суффикса и возвращает список кортежей (host, replicaID), что помогает выявить устаревшие записи репликации.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ds.ruv",
  "check": "KnownRUVCheck",
  "result": "SUCCESS",
  "uuid": "95da5759-5e7d-4260-9d79-01fa9d591b25",
  "when": "20250421034249Z",
  "duration": "0.002467",
  "kw": {
    "key": "ruvs_dc=testdomain,dc=test",
    "suffix": "dc=testdomain,dc=test",
    "ruvs": [
      [
        "ipasrv.testdomain.test",
        "4"
      ],
      [
        "ipacln.testdomain.test",
        "3"
      ]
    ]
  }
}
  • ipahealthcheck.ipa.certs
    Содержит набор проверок, связанных с сертификатами FreeIPA: контролирует срок действия сертификатов, проверяет целостность и корректность цепочки доверия, сверяет сертификаты в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базах и PEM-файлах, а также их соответствие записям в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].
    Раскрыть
    titleПроверки в источнике ipahealthcheck.ipa.certs

    IPACertmongerExpirationCheck

    Перебирает все ожидаемые запросы certmonger и проверяет срок действия сертификата, основываясь на информации, которой располагает certmonger. Если сертификат истекает в пределах cert_expiration_days (по умолчанию 28 дней), выдается предупреждение.

    Истекший сертификат:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertmongerExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "expiration_date": "20160101001704Z",
    "msg": "Request id 1234 expired on 20160101001704Z"
  }
}

    Сертификат, истекающий скоро:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertmongerExpirationCheck",
  "result": "WARNING",
  "kw": {
    "key": 1234,
    "expiration_date": "20160101001704Z",
    "days": 9,
    "msg": "Request id 1234 expires in 9 days"
  }
}

    IPACertfileExpirationCheck

    Похожа на IPACertmongerExpirationCheck, но сертификат извлекается из PEM-файла или базы NSS и повторно проверяется. Это используется в случае, если сведения certmonger устарели по сравнению с сертификатом, находящимся на диске.

    Если файл сертификата не может быть открыт:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "certfile": "/path/to/cert.pem",
    "error": [error],
    "msg": "Unable to open cert file '/path/to/cert.pem': [error]"
  }
}

    Если FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-база не может быть открыта:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "dbdir": "/path/to/nssdb",
    "error": [error],
    "msg": "Unable to open NSS database '/path/to/nssdb': [error]"
  }
}

    Если отслеживаемый никнейм не найден в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базе:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "dbdir": "/path/to/nssdb",
    "nickname": [nickname],
    "error": [error],
    "msg": "Unable to retrieve cert '[nickname]' from '/path/to/nssdb': [error]"
  }
}

    Истекший сертификат:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "expiration_date", "20160101001704Z",
    "msg": "Request id 1234 expired on 20160101001704Z"
  }
}

    Сертификат, истекающий скоро:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "WARNING",
  "kw": {
    "key": 1234,
    "expiration_date", "20160101001704Z",
    "days": 9,
    "msg": "Request id 1234 expires in 9 days"
  }
}

    IPACAChainExpirationCheck

    Загружает цепочку сертификатов из файла /etc/ipa/ca.crt и проверяет срок действия каждого сертификата в цепочке. Это тест, предназначенный для подтверждения валидности всей цепочки доверия (включая случаи, когда сертификаты веб-сервера или LDAP были заменены, а цепочка находится в /etc/ipa/ca.crt).

    Сертификат, истекающий скоро:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACAChainExpirationCheck",
  "result": "WARNING",
  "kw": {
    "path": "/etc/ipa/ca.crt",
    "key": "CN=Certificate Authority,O=EXAMPLE.TEST",
    "days": 2,
    "msg": "CA '{key}' is expiring in {days} days."
  }
}

    Истекший сертификат:

    Блок кода
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACAChainExpirationCheck",
  "result": "WARNING",
  "kw": {
    "path": "/etc/ipa/ca.crt",
    "key": "CN=Certificate Authority,O=EXAMPLE.TEST",
    "days": 2,
    "msg": "CA '{key}' is expiring in {days} days."
  }
}

    IPACertTracking

    Сравнивает информацию отслеживания сертификатов, полученную от FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], с ожидаемыми значениями. Результат показывает ошибку, если какая-либо часть отслеживания отсутствует или отличается от ожидаемой.

    Предупреждение
    titleВажно!

    По умолчанию FreeIPA на Astra Linux развёртывается без полноценного CA. Генерируется ключевая пара CA (создаются закрытый ключ и самоподписанный сертификат открытого ключа), остальные сертификаты формируются через CSR и подписываются этим закрытым ключом CA, а их проверка выполняется по самоподписанному сертификату CA.
    Поскольку в системе отсутствует как внутренний (DogTag), так и внешний CA, проверка IPACertTracking всегда будет завершаться с ERROR. Для исправления нужно начать отслеживать сертификат вручную, подробнее . Для дополнительной информации см. Отслеживаемый сертификат Порядок включения сертификатов в отслеживаемые.

    Если отслеживание отсутствует:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertTracking",
  "result": "ERROR",
  "kw": {
    "key": "cert-file=/var/lib/ipa/ra-agent.pem, key-file=/var/lib/ipa/ra-agent.key, ca-name=dogtag-ipa-ca-renew-agent, cert-storage=FILE, cert-presave-command=/usr/libexec/ipa/certmonger/renew_ra_cert_pre,  cert-postsave-command=/usr/libexec/ipa/certmonger/renew_ra_cert"
    "msg": "Missing tracking for cert-file=/var/lib/ipa/ra-agent.pem, key-file=/var/lib/ipa/ra-agent.key, ca-name=dogtag-ipa-ca-renew-agent, cert-storage=FILE, cert-presave-command=/usr/libexec/ipa/certmonger/renew_ra_cert_pre,  cert-postsave-command=/usr/libexec/ipa/certmonger/renew_ra_cert"
  }
}

    Если отслеживается неизвестный сертификат:

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertTracking",
  "result": "WARNING",
  "kw": {
    "key": 1234,
    "msg": "Unknown certmonger id 1234'
  }
}

    IPACertNSSTrust

    Сравнивает настройки доверия для сертификатов, хранящихся в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базе, с известным корректным состоянием.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertNSSTrust",
  "result": "ERROR",
  "kw": {
    "key": "auditSigningCert cert-pki-ca",
    "expected": "u,u,Pu",
    "got": "u,u,u",
    "nickname": "auditSigningCert cert-pki-ca",
    "dbdir": "/etc/pki/pki-tomcat/alias",
    "msg": "Incorrect NSS trust for auditSigningCert cert-pki-ca. Got u,u,u expected u,u,Pu"
  }
}

    IPACertMatchCheck

    Удостоверяется, что записи сертификата CA в LDAP совпадают с данными, полученными из FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базы (или файла).

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertMatchCheck",
  "result": "ERROR",
  "kw": {
    "msg": "CA Certificate from /etc/ipa/nssdb does not match /etc/ipa/ca.crt"
  }
}

    IPADogtagCertsMatchCheck

    Проверяет, совпадают ли сертификаты DogTag, присутствующие как в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базе, так и в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPADogtagCertsMatchCheck",
  "result": "ERROR",
  "kw": {
    "msg": "'subsystemCert cert-pki-ca' certificate in NSS DB does not match entry in LDAP"
  }
}

    IPANSSChainValidation

    Информация
    titleСправка

    Команда"certutil -V -u V -e -d [dbdir] -n [nickname]"проверяет указанный сертификат на валидность цепочки доверия и корректность подписи из NSS-базы.

    -d [dbdir] и -n [nickname] — путь к базе и её псевдоним.
    -V -u V -e — валидация по дате/флагам доверия и проверка подписи.

    Проверяет цепочку сертификатов, полученных из FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-базы. Выполняется команда "certutil -V -u V -e -d [dbdir] -n [nickname]".

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPANSSChainValidation",
  "result": "ERROR",
  "kw": {
    "key": "/etc/dirsrv/slapd-EXAMPLE-TEST:Server-Cert",
    "nickname": "Server-Cert",
    "dbdir": [path to NSS database],
    "reason": "certutil: certificate is invalid: Peer's Certificate issuer is not recognized.\n: ",
    "msg": ""Validation of Server-Cert in /etc/dirsrv/slapd-EXAMPLE-TEST/ failed: certutil: certificate is invalid: Peer's Certificate issuer is not recognized.\n "
  }
}

    IPAOpenSSLChainValidation

    Информация
    titleСправка

    Команда "openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt /path/to/cert.pem" проверяет цепочку доверия для сертификата /path/to/cert.pem, используя доверенный FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-файл /etc/ipa/ca.crt.

    Проверяет цепочку сертификатов для файлов OpenSSL. Выполняется команда "openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt /path/to/cert.pem".

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPAOpenSSLChainValidation",
  "result": "ERROR",
  "kw": {
    "key": "/var/lib/ipa/ra-agent.pem",
    "reason": "O = EXAMPLE.TEST, CN = IPA RA\nerror 20 at 0 depth lookup: unable to get local issuer certificate\n",
    "msg": "Certificate validation for /var/lib/ipa/ra-agent.pem failed: O = EXAMPLE.TEST, CN = IPA RA\nerror 20 at 0 depth lookup: unable to get local issuer certificate\n"
  }
}

    IPARAAgent

    Проверяет соответствие описания и значения атрибута userCertificate для RA-агента в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPARAAgent",
  "result": "ERROR",
  "kw": {
    "expected": "2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST",
    "got": "2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST",
    "msg": "RA agent description does not match. Found 2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST in LDAP and expected 2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST"
  }
}

    IPAKRAAgent

    Проверяет соответствие описания и значения атрибута userCertificate для FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]-агента в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК].

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPAKRAAgent",
  "result": "ERROR",
  "kw": {
    "expected": "2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST",
    "got": "2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST",
    "msg": "KRA agent description does not match. Found 2;7;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST in LDAP and expected 2;125;CN=Certificate Authority,O=EXAMPLE.TEST;CN=IPA RA,O=EXAMPLE.TEST"
  }
}

    IPACertRevocation

    Подтверждает, что сертификаты IPA не отозваны, используя отслеживание certmonger для определения списка сертификатов, подлежащих проверке.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertRevocation",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "revocation_reason": "superseded",
    "msg": "Certificate is revoked, superseded"
  }
}

    IPACertmongerCA

    Проверяет корректность конфигурации CA в FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], анализируя настройки dogtag-ipa-ca-renew-agent и dogtag-ipa-ca-renew-agent-reuse.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertmongerCA",
  "result": "ERROR",
  "kw": {
    "key": "dogtag-ipa-ca-renew-agent",
    "msg": "Certmonger CA 'dogtag-ipa-ca-renew-agent' missing"
  }
}

    IPACertDNSSAN

    Проверяет, что во всех действующих заявках certmonger на серверные сертификаты профиля caIPAserviceCert для CA присутствует FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]‑Subject Alt Name, совпадающий с FQDN текущего хоста.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertDNSSAN",
  "result": "ERROR",
  "uuid": "431c42c0-9396-4593-ad2b-09b40298ba1f",
  "when": "20240416115958Z",
  "duration": "0.904624",
  "kw": {
    "key": "20240318110910",
    "hostname": "ipa-ca.example.com",
    "san": [
      "ipa02.example.com"
    ],
    "ca": "IPA",
    "profile": "caIPAserviceCert",
    "msg": "Certificate request id {key} with profile {profile} for CA {ca} does not have a DNS SAN {san} matching name {hostname}"
  }
}

    CertmongerStuckCheck

    Ищет заявки FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], у которых статус stuck = true, и оповещает об «застрявших» запросах.

    Блок кода
    titlejson
    {
  "source": "ipahealthcheck.ipa.certs",
  "check": "CertmongerStuckCheck",
  "result": "WARNING",
  "uuid": "d32781d5-09e7-4d52-89f1-57eca541e9e4",
  "when": "20230407120255Z",
  "duration": "0.019584",
  "kw": {
    "key": "20230407091205",
    "msg": "certmonger request {key} is in the stuck state"
  }
}

...

Предупреждение
titleВажно!

При ручном добавлении сертификата в отслеживание, служба certmonger лишь начинает за ним наблюдать, но автоматическое обновление происходит только через CA, сконфигурированный в certmonger. Если в системе нет ни одного CA (внутреннего DogTag или внешнего, зарегистрированного через getcert add-scep-ca или ipa-getcert), то при приближении срока истечения служба certmonger попытается продлить сертификат, но получит ошибку CA_UNREACHABLE и не обновит его автоматически.

...