No se puede iniciar sesión en la interfaz de usuario web de FreeIPA: "Error de inicio de sesión debido a un motivo desconocido".

tag-icon tag-icon certificate freeipa centos8
No se puede iniciar sesión en la interfaz de usuario web de FreeIPA: "Error de inicio de sesión debido a un motivo desconocido".

Tengo unos meses de instalación de freeipa. Sin embargo, últimamente, cuando volví para continuar mi administración con el servidor IPA, no puedo iniciar sesión.

DNS funciona en mi red privada sin problemas, incluso no puedo iniciar sesión en el sistema IPA. Estoy usando certificados letsencrypt en la configuración httpd.

$estado de administración de ipa-pkinit

PKINIT is enabled
The ipa-pkinit-manage command was successful

$lista de klist

Ticket cache: KCM:0
Default principal: [email protected]

Valid starting       Expires              Service principal
31.08.2020 16.12.30  01.09.2020 16.12.25  krbtgt/[email protected]

$ipa -vping

ipa: ERROR: cannot connect to 'https://serenity.example.com/ipa/json': [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)

gato /var/log/httpd/error_log

[Mon Aug 31 16:31:30.125325 2020] [wsgi:error] [pid 9761:tid 139962713196288] [remote 10.0.12.31:58490] ipa: INFO: 401 Unauthorized: HTTPSConnectionPool(host='serenity.example.com', port=443): Max retries exceeded with url: /ipa/session/cookie (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)'),))

Inicio de sesión de interfaz de usuario web:

Login failed due to an unknown reason

Nota: cambié mi dominio a ejemplo.com

¿Qué está causando este problema y cómo solucionarlo?

Respuesta1

Mira el contenido de:

  1. /etc/ipa/ca.crt
  2. /var/lib/ipa-client/pki/ca-bundle.pem
  3. /var/lib/ipa-client/pki/kdc-ca-bundle.pem

Debe haber varios certificados en cada uno si utiliza letsencrypt para https y una CA autofirmada. A los clientes registrados antes de agregar las CA raíz de letsencrypt les faltaban los certificados adicionales de estos 3 archivos.

yo hice referenciahttps://github.com/freeipa/freeipa-letsencryptpara cambiar a letsencrypt, que tiene ipa-cacert-manage (para agregar las CA raíz a la confianza de freeipa) e ipa-certupdate (para transferir todos los certificados en la confianza de freeipa al cliente), lo que me di cuenta más tarde es que debería haber ejecutado el ipa-certupdate en cada cliente antes de cambiar https para usar letsencrypt.

información relacionada