나는 몇 달 전에 freeipa를 설치했습니다. 그러나 최근 IPA 서버 관리를 계속하기 위해 돌아왔을 때 로그인할 수 없습니다.
IPA 시스템에 로그인할 수 없는 경우에도 DNS는 문제 없이 내 개인 네트워크에서 작동합니다. httpd 설정에서 letsencrypt 인증서를 사용하고 있습니다.
$ipa-pkinit-관리 상태
PKINIT is enabled
The ipa-pkinit-manage command was successful
$클리스트
Ticket cache: KCM:0
Default principal: [email protected]
Valid starting Expires Service principal
31.08.2020 16.12.30 01.09.2020 16.12.25 krbtgt/[email protected]
$ipa -v 핑
ipa: ERROR: cannot connect to 'https://serenity.example.com/ipa/json': [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)
고양이 /var/log/httpd/error_log
[Mon Aug 31 16:31:30.125325 2020] [wsgi:error] [pid 9761:tid 139962713196288] [remote 10.0.12.31:58490] ipa: INFO: 401 Unauthorized: HTTPSConnectionPool(host='serenity.example.com', port=443): Max retries exceeded with url: /ipa/session/cookie (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)'),))
웹 UI 로그인:
Login failed due to an unknown reason
참고: 내 도메인 영역을 example.com으로 변경했습니다.
이 문제의 원인은 무엇이며 해결 방법은 무엇입니까?
답변1
다음 내용을 살펴보세요.
- /etc/ipa/ca.crt
- /var/lib/ipa-client/pki/ca-bundle.pem
- /var/lib/ipa-client/pki/kdc-ca-bundle.pem
https 및 자체 서명 CA에 letsencrypt를 사용하는 경우 각각에 여러 인증서가 있어야 합니다. letsencrypt 루트 CA를 추가하기 전에 등록한 클라이언트에는 이 3개 파일의 추가 인증서가 누락되었습니다.
나는 참고했다https://github.com/freeipa/freeipa-letsencryptipa-cacert-manage(freeipa의 신뢰에 루트 CA 추가) 및 ipa-certupdate(freeipa 신뢰의 모든 인증서를 클라이언트로 가져오기)가 있는 letsencrypt로 전환하기 위해 나중에 깨달은 것은 다음을 실행해야 한다는 것입니다. letsencrypt를 사용하기 위해 https를 전환하기 전에 모든 클라이언트에서 ipa-certupdate를 실행하세요.