The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Проблема с FreeIPA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP)
Изначальное сообщение [ Отслеживать ]

"Проблема с FreeIPA"  +/
Сообщение от ACCA (ok), 03-Окт-18, 20:34 
В первый раз пытаюсь сделать SSL сертификат с помощью FreeIPA CA (dogtag). Пытаюсь отправить CSR через certmonger. На клиенте сделал:


# ipa-getcert request ...

На нём же смотрю, что получилось:


# getcert list
Number of certificates and requests being tracked: 1.
Request ID '20181003165853':
    status: CA_UNREACHABLE
    ca-error: Server at https://ns1.example.com/ipa/xml failed request, will retry: 903 (RPC failed at server.  an internal error has occurred).
    stuck: no
  [...]

Пробую пихнуть ещё раз:


# ipa-certupdate
trying https://ns1.example.com/ipa/json
did not receive Kerberos credentials
The ipa-certupdate command failed.

Не верю, пробую другую команду:


# ipa user-find
---------------
3 users matched
---------------
  User login: ***
[...]

Проверяю кэш Kerberos на клиенте:


# klist -f
Ticket cache: KEYRING:persistent:1277400000:1277400000
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/03/2018 10:13:09  10/03/2018 17:48:48  HTTP/ns1.example.com@EXAMPLE.COM
    Flags: FfAT
10/03/2018 09:21:17  10/03/2018 17:48:48  krbtgt/EXAMPLE.COM@EXAMPLE.COM
    Flags: FfAT

Пробую вручную пробиться:


# curl --negotiate -u : https://ns1.example.com/ipa/json
{"result": null, "version": "4.5.4", "error": {"message": "Missing or invalid HTTP Referer, missing", "code": 911, "data": {"referer": "missing"}, "name": "RefererError"}, "id": null, "principal": "admin@EXAMPLE.COM"}

В логах у клиента и у сервера - только сообщения о старте-стопе.


Никто не видел такого зверя, что я делаю неправильно?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема с FreeIPA"  +/
Сообщение от ACCA (ok), 05-Окт-18, 05:50 
Сам уже разобрался. Там наслоилось три проблемы:

1. RFC-6125 - почти весь SSL-софт перестал заглядывать в CN совсем
2. для каждого servernameX в ipa-getcert request -D servername1 -D servername2 должен быть свой service principal вида HTTP/servernameX
3. конкретная версия ipa-getcert имела баг - брала только первый -D

Короче, всё завелось.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor