Введение
FreeIPA Health Check – утилита для диагностики работоспособности сервера FreeIPA.
Её основное назначение – автоматическая проверка корректности настроек, безопасности, доступности репликации и работы сервисов FreeIPA.
Программа предназначена для администраторов, требующих быстрой диагностики и своевременного обнаружения неисправностей.
Цели использования:
Обеспечение устойчивости работы серверов FreeIPA.
Выявление потенциальных ошибок в настройке.
Контроль состояния репликации и конфигурации Kerberos.
Своевременное оповещение о сбоях и нарушениях в системе.
Описание стенда
Запуск утилиты производится на настроенном контроллере ЕПП FreeIPA. Порядок установки см. в статье:
Никаких настроек более не требуется.
Установка пакета
Пакет freeipa-healthcheck входит в репозитории Astra Linux. Установить необходимый пакет можно используя Графический менеджер пакетов synaptic, или из командной строки:
sudo apt install freeipa-healthcheck |
После установки будут созданы конфигурационный файл /etc/ipahealthcheck/ipahealthcheck.conf и служба ipa-healthcheck.service в systemd.
Настройка. Конфигурация и интеграция
Файл конфигурации разделён как минимум на два раздела:
- Раздел [default]. В этом разделе задаются значения параметров, влияющих на работу инструмента проверки состояния (healthcheck).
- Раздел [excludes]. Этот раздел используется для фильтрации или подавления определённых результатов по имени источника, имени проверки или конкретному ключу результата. Это особенно полезно для игнорирования известных незначительных проблем в окружении.
Параметры в разделе [default]:- cert_expiration_days:
Задает порог в днях до истечения срока действия сертификата, после которого начинает выдаваться предупреждение (например, если установить значение 7, то предупреждение появится за 7 дней до истечения). Значение по умолчанию: 28. - timeout:
Устанавливает максимальное время (в секундах) для выполнения каждой проверки. Если проверка выполняется дольше указанного времени, она считается прерванной с ошибкой. Значение по умолчанию: 10. - output_type:
Определяет формат вывода результатов. Допустимые значения:
– json (по умолчанию, машиночитаемый формат),
– human (удобочитаемый формат для пользователей),
– prometheus (формат для экспозиции метрик Prometheus). - output_file:
Указывает путь к файлу, в который будет записываться вывод вместо стандартного вывода (stdout). - indent:
При использовании JSON-вывода задаёт уровень отступов для форматирования результата (делает вывод более читаемым). - verbose
Включают подробное логирование и режим отладки для получения дополнительной информации о работе инструмента. Эти опции полезны для диагностики, однако при автоматических запусках они могут создавать избыточный вывод.
Параметры в разделе [excludes]:source:
Фильтрует результаты, поступающие из определённого источника (например, ipahealthcheck.ipa.certs). check:
Позволяет подавлять конкретные имена проверок (например, IPADNSSystemRecordsCheck). key:
Фильтрует результаты по конкретному ключу (обычно это уникальный идентификатор, например, ID запроса на сертификат).
|
Пример готовой конфигурации может выглядеть так:
[default]
cert_expiration_days = 7
timeout = 25
output_type = json
output_file = /var/log/ipa-health.log
indent = 2
verbose = True
[excludes]
source = ipahealthcheck.ipa.certs
check = IPADNSSystemRecordsCheck
key = 20210910141452 |