Não é possível fazer login na interface da web do FreeIPA - “Falha no login devido a um motivo desconhecido.”

tag-icon tag-icon certificate freeipa centos8
Não é possível fazer login na interface da web do FreeIPA - “Falha no login devido a um motivo desconhecido.”

Tenho instalação do freeipa há alguns meses. Porém, ultimamente, quando voltei para continuar minha administração com o servidor IPA, não consigo fazer login nele.

O DNS está funcionando na minha rede privada sem problemas, mesmo que eu não consiga fazer login no sistema IPA. Estou usando certificados letsencrypt na configuração do httpd.

$status do ipa-pkinit-manage

PKINIT is enabled
The ipa-pkinit-manage command was successful

$lista de cliques

Ticket cache: KCM:0
Default principal: [email protected]

Valid starting       Expires              Service principal
31.08.2020 16.12.30  01.09.2020 16.12.25  krbtgt/[email protected]

$ipa -v ping

ipa: ERROR: cannot connect to 'https://serenity.example.com/ipa/json': [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)

gato /var/log/httpd/error_log

[Mon Aug 31 16:31:30.125325 2020] [wsgi:error] [pid 9761:tid 139962713196288] [remote 10.0.12.31:58490] ipa: INFO: 401 Unauthorized: HTTPSConnectionPool(host='serenity.example.com', port=443): Max retries exceeded with url: /ipa/session/cookie (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)'),))

Login da interface do usuário da Web:

Login failed due to an unknown reason

Observação: mudei meu domínio de domínio para example.com

O que está causando esse problema e como corrigi-lo?

Responder1

Veja o conteúdo de:

  1. /etc/ipa/ca.crt
  2. /var/lib/ipa-client/pki/ca-bundle.pem
  3. /var/lib/ipa-client/pki/kdc-ca-bundle.pem

Deve haver vários certificados em cada um se você estiver usando letsencrypt para https e uma CA autoassinada. os clientes registrados antes de eu adicionar as CAs raiz letsencrypt não tinham os certificados extras desses três arquivos.

eu referencieihttps://github.com/freeipa/freeipa-letsencryptpara mudar para letsencrypt, que tem ipa-cacert-manage (para adicionar as CAs raiz à confiança do freeipa) e ipa-certupdate (para puxar todos os certificados na confiança do freeipa para o cliente) o que percebi mais tarde é que deveria ter executado o ipa-certupdate em cada cliente antes de inverter https para usar letsencrypt.

informação relacionada