Автор Тема: Alt Server 8.2 FreeIPA. Ошибка установки.  (Прочитано 7263 раз)

Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Сервер Alt P8 (Mate)
Запустил WebGUI Альтератора, хотел в графике поставить FreeIPA... Не получилось. Ну да ладно, добавили недавно вроде в версии 8.2.
пошел по инструкции на сайте ALT. Получил ошибку.

Спойлер
Configuring NTP daemon (ntpd)
  [1/5]: stopping ntpd
  [2/5]: writing configuration
  [3/5]: configuring ntpd to start on boot
  [4/5]: set ntpd mode to server
  [5/5]: starting ntpd
Done configuring NTP daemon (ntpd).
Configuring directory server (dirsrv). Estimated time: 1 minute
  [1/46]: creating directory server user
  [2/46]: creating directory server instance
  [3/46]: restarting directory server
  [4/46]: adding default schema
  [5/46]: enabling memberof plugin
  [6/46]: enabling winsync plugin
  [7/46]: configuring replication version plugin
  [8/46]: enabling IPA enrollment plugin
  [9/46]: enabling ldapi
  [10/46]: configuring uniqueness plugin
  [11/46]: configuring uuid plugin
  [12/46]: configuring modrdn plugin
  [13/46]: configuring DNS plugin
  [14/46]: enabling entryUSN plugin
  [15/46]: configuring lockout plugin
  [16/46]: configuring topology plugin
  [17/46]: creating indices
  [18/46]: enabling referential integrity plugin
  [19/46]: configuring certmap.conf
  [20/46]: configure autobind for root
  [21/46]: configure new location for managed entries
  [22/46]: configure dirsrv ccache
  [23/46]: enabling SASL mapping fallback
  [24/46]: restarting directory server
  [25/46]: adding sasl mappings to the directory
  [26/46]: adding default layout
  [27/46]: adding delegation layout
  [28/46]: creating container for managed entries
  [29/46]: configuring user private groups
  [30/46]: configuring netgroups from hostgroups
  [31/46]: creating default Sudo bind user
  [32/46]: creating default Auto Member layout
  [33/46]: adding range check plugin
  [34/46]: creating default HBAC rule allow_all
  [35/46]: adding sasl mappings to the directory
  [36/46]: adding entries for topology management
  [37/46]: initializing group membership
  [38/46]: adding master entry
  [39/46]: initializing domain level
  [40/46]: configuring Posix uid/gid generation
  [41/46]: adding replication acis
  [42/46]: enabling compatibility plugin
  [43/46]: activating sidgen plugin
  [44/46]: activating extdom plugin
  [45/46]: tuning directory server
  [46/46]: configuring directory to start on boot
Done configuring directory server (dirsrv).
Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes 30
seconds
  [1/28]: creating certificate server user
  [2/28]: configuring certificate server instance
ipa.ipaserver.install.cainstance.CAInstance: CRITICAL Failed to configure CA
instance: Command '/usr/sbin/pkispawn -s CA -f /tmp/.private/root/tmpE9Accd'
returned non-zero exit status 1
ipa.ipaserver.install.cainstance.CAInstance: CRITICAL See the installation logs
and the following files/directories for more information:
ipa.ipaserver.install.cainstance.CAInstance: CRITICAL   /var/log/pki/pki-tomcat
  [error] RuntimeError: CA configuration failed.
ipa.ipapython.install.cli.install_tool(Server): ERROR    CA configuration
failed.
ipa.ipapython.install.cli.install_tool(Server): ERROR    The ipa-server-install
command failed. See /var/log/ipaserver-install.log for more information

Создал баг.

Кто-нибудь с таким встречался?

P.S. Нашел у рэдхатовцев прям один-в-один с моей ошибкой, но это было еще в 2013 и исправлено еще в 2014 году.

« Последнее редактирование: 18.04.2018 08:15:33 от Char0Day »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #1 : 18.04.2018 08:40:42 »
Причиной может быть новый nss в p8.
Андрей Черепанов (cas@)

Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #2 : 18.04.2018 09:28:39 »
Причиной может быть новый nss в p8.
А если из Сизифа посвежее поставить попробовать? Или он много зависимостей потянет?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #3 : 18.04.2018 12:08:30 »
Причиной может быть новый nss в p8.
А если из Сизифа посвежее поставить попробовать? Или он много зависимостей потянет?
Они одинаковы. Наоборот, слишком свежий nss из Sisyphus может вызвать проблемы в нежном и ранимом FreeIPA.
Андрей Черепанов (cas@)

Оффлайн Rider

  • /usr/sbin/control
  • *******
  • Сообщений: 1 136

Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #5 : 18.04.2018 14:10:11 »
Причиной может быть новый nss в p8.

А может новый nss по дефолту собирается не со всеми криптопровайдерами?

UPD. Почитал https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/JSS
Судя по ошибке в баге 34770, JSS (java интерфейс к nss), не смог найти криптопровайдера Mozilla-JSS.
Может, у нового nss api поменzлось? а томкэт со всей обвязкой еще старых версий и JSS не может теперь обращаться к новому API nss?

Upd2: Ого, прикольное чего начитал:

Спойлер
JSS implements several JCE (Java Cryptography Extension) algorithms. These algorithms have at various times been export-controlled by the US government. JRE therefore requires that JAR files implementing JCE algorithms be digitally signed by an approved organization. The maintainers of JSS, Sun, Red Hat, and Mozilla, have this approval and signs the official builds of jss4.jar. At runtime, the JRE automatically verifies this signature whenever a JSS class is loaded that implements a JCE algorithm. The verification is transparent to the application (unless it fails and throws an exception). If you are curious, you can verify the signature on the JAR file using the jarsigner tool, which is distributed with the JDK.
If you build JSS yourself from source instead of using binaries downloaded from mozilla.org, your JAR file will not have a valid signature. This means you will not be able to use the JSS provider for JCE algorithms.
You have two choices.

1    Use the binary release of JSS from mozilla.org.
 2   Apply for your own JCE code-signing certificate following the procedure at How to Implement a Provider for the JavaTM Cryptography Extension. Then you can sign your own JSS JAR file.

А в отечественных дистрибутивах, надеюсь, jss4.jar самостоятельно собран? ))))
И зачем они его на jdk1.4 собирают? Банковский энтерпрайз того требует? Супер LTS?

P.S. Как полезно баги славливать. Столько нового узнал  ;-D.
« Последнее редактирование: 18.04.2018 14:31:55 от Char0Day »

Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #6 : 18.04.2018 15:39:16 »
А может, достать пока нужный nsslib?
Вопрос версии и где искать эту версию.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #7 : 18.04.2018 17:41:07 »
А может, достать пока нужный nsslib?
Вопрос версии и где искать эту версию.
Смотрите архив p8 на ftp.altlinux.org
Андрей Черепанов (cas@)

Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #8 : 21.04.2018 14:43:12 »
Проверил на архиве за 25 марта.
Заработало на libnss 3.34.1-alt0.M80P.1. Правда установка опять прошла с ошибкой, но  ошибка не сложная.
В bind не создалась a-запись для ns.domain.dom и он не запускался ( и поэтому не запускался ipa).
После добавления записи все заработало.
« Последнее редактирование: 24.04.2018 08:45:23 от Char0Day »

Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #9 : 10.05.2018 05:07:11 »
В bind не создалась a-запись для ns.domain.dom и он не запускался ( и поэтому не запускался ipa).
После добавления записи все заработало.


Да нет, не все заработало :)
Клиенты не вводились в домен.
Переустановил FreeIPA сервер, добился чтобы не было ошибок в конце инсталляции на этапе интеграции с bind (перед очередной установкой FreeIPA после деинсталляциии (ipa-server-install --uninstall) взял и удалил bind (--purge) и заново поставил. Прошло без ошибок.
Вввел пару клиентов в домен.


Теперь с чем еще столкнулся:

Не могу настроить zone forwarding.

ipa dnsforwardzone-add my-ad-domain.ru. --forwarder=10.10.10.15 --forward-policy=only
Server will check DNS forwarder(s).
This may take some time, please wait ...
ipa: ERROR: DNS check for domain my-ad-domain.ru. failed: All nameservers failed to answer the query my-ad-domain.ru. IN SOA: Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered SERVFAIL.

dig при этом отрабатывает
dig @10.10.10.15 my-ad-domain.ru. SOA

; <<>> DiG 9.10.6 <<>> @10.10.10.15 my-ad-domain.ru. SOA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2950
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;my-ad-domain.ru. IN SOA

;; ANSWER SECTION:
vst-rmp.ru. 3600 IN SOA dc01.my-ad-domain.ru. hostmaster.my-ad-domain.ru. 2952 900 600 86400 3600

;; ADDITIONAL SECTION:
dc01.my-ad-domain.ru. 3600 IN A 10.10.10.15

;; Query time: 0 msec
;; SERVER: 10.10.10.15#53(10.10.10.15)
;; WHEN: Thu May 10 12:04:22 +10 2018
;; MSG SIZE  rcvd: 115


Если добавляю запись напрямую в bind в файл local.conf:
zone "my-ad-domain.ru" {
    type forward;
    forwarders { 10.10.10.15; };
};

То все прекрасно работает.

Почему-то FreeIPA, вместо того, чтобы обращаться к forwarder, пытается зону заресолвить через корневые серверы
(k.root-servers.net и т.п.), хотя указана опция --forward-policy=only
Сильно умный что-ли? видит корневую зону .ru в my-ad-domain.ru и сразу отправляет к корневым серверам?

Кстати, не выпущен IPA tcp/udp 53 наружу (не может обратиться к корневым серверам).
И при установке ipa-server-install   forwarders не были указаны.

Спойлер
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:1::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:1::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.33.4.12#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:a8::e#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:7fd::1#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:503:c27::2:30#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:a8::e#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:7fd::1#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:503:c27::2:30#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:7fe::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:9f::42#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 198.41.0.4#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:7fe::53#53
May 10 12:32:36 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:9f::42#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:2f::f#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:2d::d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:12::d0d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:2f::f#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:2d::d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:12::d0d#53
May 10 12:32:37 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.228.79.201#53
May 10 12:32:38 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:2::c#53
May 10 12:32:39 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:2::c#53
May 10 12:32:39 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 192.203.230.10#53
May 10 12:32:40 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.58.128.30#53
May 10 12:32:40 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:503:ba3e::2:30#53
May 10 12:32:40 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:503:ba3e::2:30#53
May 10 12:32:41 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:dc3::35#53
May 10 12:32:42 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:dc3::35#53
May 10 12:32:43 ipa01.ipadom.dom named[11101]: host unreachable resolving 'my-ad-domain.ru/SOA/IN': 192.112.36.4#53
May 10 12:32:43 ipa01.ipadom.dom named[11101]: network unreachable resolving 'my-ad-domain.ru/SOA/IN': 2001:500:200::b#53
May 10 12:32:44 ipa01.ipadom.dom named[11101]: network unreachable resolving './NS/IN': 2001:500:200::b#53
May 10 12:32:44 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 198.97.190.53#53
May 10 12:32:45 ipa01.ipadom.dom named[11101]: host unreachable resolving './NS/IN': 193.0.14.129#53




« Последнее редактирование: 10.05.2018 05:48:49 от Char0Day »

Оффлайн jenya

  • Начинающий
  • *
  • Сообщений: 1
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #10 : 23.05.2018 09:56:19 »
А в /etc/named.conf есть строчка ?
dynamic-db "ipa" {
        library "ldap.so";
....


Оффлайн Char0Day

  • Завсегдатай
  • *
  • Сообщений: 55
    • charoday.ru
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #11 : 25.05.2018 06:10:53 »
А в /etc/named.conf есть строчка ?
dynamic-db "ipa" {
        library "ldap.so";
Есть.

Если запись о форвард-зоне  в local.conf  закомментирована, то 

ipa: ERROR: DNS check for domain mydom.ru. failed: All nameservers failed to answer the query mydom.ru. IN SOA: Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered The DNS operation timed out.; Server 127.0.0.1 UDP port 53 answered SERVFAIL.
иначе, говорит, что есть такая запись, и обслуживается серверами такими-то.

Непонятно только, почему для форвард-зоны он обращается не к форвард-серверу, а к самому себе 127.0.0.1
Вот тут, подозреваю, и скрывается ответ.  Либо бага у FreeIPA, либо я где-то неправильно сконфигурировал.



Оффлайн chemerik

  • Начинающий
  • *
  • Сообщений: 8
    • Email
Re: Alt Server 8.2 FreeIPA. Ошибка установки.
« Ответ #12 : 26.06.2018 10:07:17 »
Сейчас вожусь с установкой и настройкой FreeIPA на ALT 8.0 Server. Была подобная проблема с установкой сервера и клиента.  Все стало работать только после установки обновлений:
apt-get dist-upgrade