Справочный центр

Дерево страниц

Сравнение версий

Старая версия 25

changes.mady.by.user Александр Сабиров

Сохранено

по сравнению с

Новая версия 26

changes.mady.by.user Александр Сабиров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Первичная диагностика производится на настроенном контроллере домена FreeIPA и предназначена для оценки текущего состояния домена. Порядок установки и настройки контроллера домена см. в статье Контроллер ЕПП FreeIPA в Astra Linux.
Диагностика позволяет своевременно обнаружить сбои доменной службы LDAP и некорректную работу репликации.
В статье будет рассмотрен ряд ручных и автоматических диагностик, дополняющих друг друга. Для автоматических диагностик будет использован инструмент ipa-healthcheck. Ознакомиться с его функциональными возможностями более подробно можно в статье FreeIPA Health Check. Обзор функциональных возможностей

Термины

ТерминПояснение
Источник (source)

Набор диагностических действий (проверок) для сбора данных (например, ipahealthcheck.ipa.certs). Полный список источников см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.

Проверка (check)

Конкретная проверка в составе источника (например, IPADNSSystemRecordsCheck). Полный список проверок см. Обзор источников и проверок для диагностики и мониторинга FreeIPA.

Якорь
DT
DT
DogTag

Сокращенное название проекта Dogtag Certificate System
Встроенный центр сертификации контроллеров FreeIPA (см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Common Edition). Не входит в состав основного репозитория Astra Linux Special Edition.

Якорь
CA
CA
CA

Аббревиатура от Certificate Authority.
Подсистема, отвечающая за выпуск, подпись и отзыв цифровых сертификатов, а также публикацию списков отозванных сертификатов (CRL) и проверку валидности сертификатов (например, с использованием протокола OCSP).

Якорь
DNS
DNS
DNS

Аббревиатура от Domain Name System.
Иерархическая распределённая система, преобразующая доменные имена в IP-адреса и обратно в Интернете.

Якорь
LDAP
LDAP
LDAP

Аббревиатура от Lightweight Directory Access Protocol.
Протокол прикладного уровня для доступа к доменной службе каталогов, использующейся для хранения и поиска информации об учётных записях, группах и политиках в сетях.

DN

Аббревиатура от Distinguished Name.
Уникальный идентификатор записи в доменной службе LDAP: строка из последовательности относительных имён в виде атрибут=значение, разделённых запятыми и идущих от конкретного объекта к корневому контексту.

LDAP-суффиксы

Записи конфигурации топологии IPA, задающие управляемые DN — области каталогов, которые реплицируются как отдельные сегменты. В FreeIPA выделяются два основных суффикса:

  • domain — DN управляемого суффикса dc=<имя_домена>, dc=<зона>, включает данные учётных записей, групп, политик и параметров аутентификации,

  • ca — DN управляемого суффикса o=ipaca, содержит объекты инфраструктуры сертификатов DogTag CA (присутствует только на серверах с CA).

Якорь
RUV
RUV
RUV

Аббревиатура от Replica Update Vector.
Набор счётчиков состояния репликации в DS, хранящийся на каждом узле; позволяет определить, какие изменения между всеми участниками топологии уже переданы, а какие ещё нужно синхронизировать.

Якорь
FQDN
FQDN
FQDN

Аббревиатура от Fully Qualified Domain Name.
Полное доменное имя узла, включающее все уровни DNS-иерархии (например, host.example.com).

Якорь
KDC
KDC
KDC

Аббревиатура от Key Distribution Center.
Компонент Kerberos, отвечающий за аутентификацию клиентов.

Якорь
DNA
DNA
DNA

Аббревиатура от Distributed Numeric Assignment.
Подсистема доменной службы каталогов, которая автоматически распределяет диапазоны идентификаторов пользователей и групп (POSIX UID/GID) между контроллерами домена — выделяет каждому контроллеру домена поддиапазон из общего пространства идентификаторов, обеспечивая их уникальность и отказоустойчивость при создании новых учётных записей и групп

Якорь
РЕПЛ
РЕПЛ
Репликация

Процесс автоматического создания и поддержания идентичных копий данных или ресурсов на двух и более узлах с целью обеспечения отказоустойчивости, повышения доступности и равномерного распределения нагрузки.

Якорь
ТР
ТР
Топология репликации

Схема взаимосвязей и соглашений репликации между контроллерами домена.

Якорь
IPA
IPA
IPA

Аббревиатура от Identity, Policy, Audit.
Интегрированное решение для централизованного управления удостоверениями, политиками аутентификации и аудита на Linux/UNIX. Основано на LDAP, Kerberos, Dogtag и DNS.

...

  • Работа с инструментом ipa-healthcheck

    • Для автоматической диагностики в составе пакета freeipa-healthcheck предоставляется инструмент ipa-healthcheck.
      Рекомендуется запускать инструмент на всех узлах, со всеми возможными источниками и проверками:
      Command
      sudo ipa-healthcheck --output-type human
      При отсутствии сбоев в окружении узла ожидается вывод:
      Блок кода
      titleВывод
      No issues found.
      Ряд источников, которые могут быть полезны при точечном диагностировании сбоев Directory Server, включая репликацию:
      • все источники начинающиеся на ipahealthcheck.ds: ipahealthcheck.ds.backends, ipahealthcheck.ds.config, ipahealthcheck.ds.disk_space, ipahealthcheck.ds.dse, ipahealthcheck.ds.encryption, ipahealthcheck.ds.fs_checks, ipahealthcheck.ds.nss_ssl, ipahealthcheck.ds.ds_plugins, ipahealthcheck.ds.replication, ipahealthcheck.ds.ruv,
      • источник ipahealthcheck.ipa.topology,
      • источник ipahealthcheck.meta.services,
      • источник ipahealthcheck.ipa.host,
      • источник ipahealthcheck.ipa.dna,
      • источник ipahealthcheck.ipa.idns.
    • Источники указываются через аргумент командной строки --source, например:
      Command
      sudo ipa-healthcheck --output-type human --source ipahealthcheck.ipa.dna
      Ознакомиться с функциональными возможностями инструмента более подробно можно в статье FreeIPA Health Check. Обзор функциональных возможностей.