Portal:FreeIPA/Troubleshoot
常规信息
FreeIPA 是一个复杂的系统,需要目录、名称解析、身份验证和 Web 服务的配合。 在尝试服务器/副本/客户端安装之前,请仔细阅读 安装指南。
故障排除证书颁发机构
YaST 创建 CA 时出错:“根据 'basicConstraints',这不是一个 CA。”
YaST CA 管理模块中存在一个错误,当您创建新的 CA 时,默认约束未正确配置,导致 CA 创建失败。 要解决此问题,在提示输入新的 CA 密码时,访问“高级选项”,并在“基本约束”下将 CA 设置为“CA:true”。
YaST 创建服务器证书时出错:“签名证书失败。”
单击“详细信息”按钮以了解错误详细信息。 最常见的原因是服务器证书的有效期限不正确地设置为超过 CA 的有效期限;如果是这种情况,请减少证书的有效期限并重试。
故障排除常见的 CA 和 LDAP 配置
命令 update-ca-certificates 不产生任何输出
这是正常的。 只有在遇到错误时,该命令才会产生输出。
文件 /etc/openldap/ldap.conf 不存在
请安装 OpenLDAP 客户端软件包
然后重试。
故障排除 FreeIPA 服务器/副本安装
访问安装日志文件
ipa-server-install 命令将日志信息写入文件 /var/log/ipaserver-install.log。 要在安装 IPA 服务器时检查日志文件,请运行
# tail -F /var/log/ipaserver-install.log | cat -v
ipa-replica-install 命令将日志信息写入文件 /var/log/ipareplica-install.log。 要在安装 IPA 副本时检查日志文件,请运行
# tail -F /var/log/ipaserver-install.log | cat -v
偶尔,在安装过程中会将二进制内容写入日志文件(已知问题),因此有必要使用“cat -v”将二进制内容转换为可读字符。
清理失败的 ipa-server-install 运行
如果 ipa-server-install 安装已启动但未成功完成,则下一次安装尝试将失败,并显示消息“IPA 服务器已在此系统上配置。” 有必要通过运行来清理不完整的安装
然后再进行另一次安装尝试。
清理失败的 ipa-replica-install 运行
如果 ipa-replica-install 安装已启动但未成功完成,则下一次安装尝试将失败。 有必要通过在副本上运行来清理不完整的安装
并在目标机器上运行(不是副本机器本身)
然后您可以重试副本安装。
服务器证书无效:对服务器 <主机名> 无效
请确保用于 FreeIPA 服务的证书文件满足所有这些条件
- 它采用 PKCS12 格式。
- 它是一个服务器证书(不是客户端证书)。
- 它包含证书和密钥。
- 它不包含 CA 或子 CA 证书。
- 证书通用名与服务器完全限定域名完全匹配。
hostname: 名称或服务未知
有时 NetworkManager 可能会导致 hostname-unknown 问题,请禁用 NetworkManager 并使用 Wicked 服务进行网络设置。 请参阅 YaST 网络设置手册以获取更多详细信息。
如果确定 NetworkManager 不是主机名问题的根源,则可以通过“hostnamectl”命令手动更正主机名和 FQDN,并将 FQDN 和短主机名手动输入到 /etc/hosts 中,然后继续进行 FreeIPA 服务器/副本安装。
故障排除 FreeIPA 管理工具
访问 Web 服务日志文件
FreeIPA Web 应用程序在 Apache Web 服务器上运行。
Apache Web 服务器守护程序将关键和启动错误记录在系统日志中,可以通过以下方式访问:
Web 访问日志和 FreeIPA Web 应用程序错误记录在传统的日志文件中,默认情况下位于“/var/log/apache2”下。
命令行工具 "ipa" 报错:“未收到 Kerberos 凭据”
在使用命令行工具“ipa”之前,您当前系统的用户必须已经获得了具有 IPA 管理权限的 Kerberos 票证。 使用命令“klist”确定是否已获得 Kerberos 票证,如果未获得,则通过以下方式获得新的票证:
# kinit admin Password for admin@LINUXDOM.NET: <enter IPA admin password>
然后重试 ipa 命令。
故障排除 FreeIPA 客户端
访问身份验证守护程序日志
FreeIPA 客户端运行 SSSD(系统安全服务守护程序),其日志可以通过以下方式访问:
SSSD 报错“密钥表条目未找到”
(或者“使用密钥表初始化凭据失败”,“客户端 ... 在 Kerberos 数据库中未找到。”)
该错误表明 SSSD 正在查找您的客户端主机的 Kerberos 密钥,但未在 Kerberos 密钥表文件 (/etc/krb5.keytab) 中找到。
有几种可能的原因
- 密钥表文件为空。
- 密钥表文件不属于此客户端机器(放置不正确)。
- 客户端机器的 FQDN 与密钥表文件中的主体名称不匹配,由于名称解析错误。
- 客户端机器的主机名不反映 IPA 数据库用于标识主机的 FQDN。
无论哪种情况,请通过运行以下命令检查密钥表文件的内容:
结果应显示多个属于主体“host/<client_FQDN>.domain@DOMAIN_REALM”的条目,例如:
host/pulautin.linuxdom.net@LINUXDOM.NET (aes256-cts-hmac-sha1-96) host/pulautin.linuxdom.net@LINUXDOM.NET (des3-cbc-sha1) ... (and more)
如果密钥表文件为空或主体名称与客户端的完全限定域名不匹配,则有必要通过“ipa-getkeytab”命令重新检索客户端的密钥表文件。 请参阅安装指南以获取详细步骤。
如果密钥表文件的内容看起来正确,则可能是客户端出现名称解析错误。 重新访问 YaST 身份验证客户端模块,并将客户端期望的 FQDN(例如“pulautin.linuxdom.net”)输入到域参数“ipa_hostname”中,看看是否解决了问题。 如果问题已解决,请检查私有网络上的域名和 DHCP 服务器上的 DNS 服务器设置。
客户端使用 IPA 凭据登录桌面或远程登录失败
检查所有系统日志
在重新尝试登录时,以确定失败原因。
请注意,在首次将机器配置为 IPA 客户端后,有时有必要重新启动机器。