Ipa-Server I Ipa-Client

[Sofcik]

Cześć

Ćwiczę sobie właśnie tematy związane z IdM i natrafiłem na bardzo dziwny "problem".

O ile serwer instaluje się w miarę bezproblemowo to z klientem mam kłopot.

"Interaktywny instalator" wyrzuca mi taki trace:

[root@ipa-client ~]# ipa-client-install --mkhomedir
Traceback (most recent call last):
  File "/usr/sbin/ipa-client-install", line 2377, in <module>
    sys.exit(main())
  File "/usr/sbin/ipa-client-install", line 2363, in main
    rval = install(options, env, fstore, statestore)
  File "/usr/sbin/ipa-client-install", line 1724, in install
    ret = ds.search(domain=options.domain, servers=options.server, hostname=hostname, ca_cert_path=get_cert_path(options.ca_cert_file))
  File "/usr/lib/python2.6/site-packages/ipaclient/ipadiscovery.py", line 242, in search
    ldapret = self.ipacheckldap(server, self.realm, ca_cert_path=ca_cert_path)
  File "/usr/lib/python2.6/site-packages/ipaclient/ipadiscovery.py", line 339, in ipacheckldap
    basedn = get_ipa_basedn(lh)
  File "/usr/lib/python2.6/site-packages/ipapython/ipautil.py", line 817, in get_ipa_basedn
    contexts = entries[0][1]['namingcontexts']
KeyError: 'namingcontexts'

Natomiast z linii poleceń z podanymi parametrami wszystko instaluje się bezproblemowo.

Kłopot pojawia się jedynie po zainstalowaniu klienta. Kiedy chcę wszystko zweryfikować i sprawdzić działanie mam coś takiego:

[root@ipa-client ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@ipa-client ~]# getent passwd admin
[root@ipa-client ~]# getent passwd admin
[root@ipa-client ~]# kinit admin
Password for [email protected]:
[root@ipa-client ~]# getent passwd admin
[root@ipa-client ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@ipa-client ~]# getent passwd admin
[root@ipa-client ~]#

Odczekałem pewien czas (być może coś się jeszcze musiało przemielić w bazie IPA-Server) ale bez efektów.

Po odinstalowaniu klienta, restarcie maszyny i reinstalacji klienta wszystko działa jak powinno.

[root@ipa-client ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@ipa-client ~]# getent passwd admin
admin:*:508400000:508400000:Administrator:/home/admin:/bin/bash
[root@ipa-client ~]# id admin
uid=508400000(admin) gid=508400000(admins) groups=508400000(admins)
[root@ipa-client ~]# getent group admin
[root@ipa-client ~]# getent group admins
admins:*:508400000:admin

 

I teraz pytania dwa:

1. Skąd się bierze ten pythonowy trace - czy to jakiś bug (szukałem w google i na RHN) czy też trzeba jeszcze jakieś opcje dodać do linii poleceń?

2. Dlaczego po pierwszej instalacji nie działa poprawnie ipa-client a po reinstalacji wszystko śmiga?

 

--

Piotrek

 

[Miszcz]

A to jest tak, że musisz mu podać w parametrach adres serwera?. Tutaj masz poradnik jak skonfigurować https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/Installing_the_IPA_Client_on_Linux.html.

 

Zwróć uwagę na czwarty i piąty punkt, gdzie podajesz domenę oraz pełna nazwę serwera. Jeżeli nie masz skonfigurowanego DNS musisz dodać na sztywno nazwę do pliku /etc/hosts.

 

Po za tym dla pewności sprawdź tcpdump-em czy na serwerze dochodzą pakiety od klienta. Jeżeli nie, to będziesz wiedział gdzie szukać.

 

Co do problemu z przeładowaniem dodaj nowego użyszkodnika, sprawdź gentent-em czy go widzi, a jak nie to czytaj logi - powiedzą na pewno co się dzieje.

Możesz także spróbować przeładować demona nslcd oraz sssd. 

[Sofcik]

A to jest tak, że musisz mu podać w parametrach adres serwera?. Tutaj masz poradnik jak skonfigurować https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/Installing_the_IPA_Client_on_Linux.html.

 

Zwróć uwagę na czwarty i piąty punkt, gdzie podajesz domenę oraz pełna nazwę serwera. Jeżeli nie masz skonfigurowanego DNS musisz dodać na sztywno nazwę do pliku /etc/hosts.

 

Po za tym dla pewności sprawdź tcpdump-em czy na serwerze dochodzą pakiety od klienta. Jeżeli nie, to będziesz wiedział gdzie szukać.

 

Co do problemu z przeładowaniem dodaj nowego użyszkodnika, sprawdź gentent-em czy go widzi, a jak nie to czytaj logi - powiedzą na pewno co się dzieje.

Możesz także spróbować przeładować demona nslcd oraz sssd. 

 

Właśnie o to chodzi, że instalacja "interaktywna" nie wymaga podawania niczego poza ewentualnymi parametrami typu "mkhomedir". Wszystkie pozostałe rzeczy wg dokumentacji powinno się podawać podczas instalacji. Co ciekawe przeładowanie nscd, sssd i sshd nie zmienia sytuacji. Jeśli chodzi o ruch do serwera (od klienta) to zmiana iptables pomiędzy pierwszą instalacją a drugą nie zachodzi - zatem to nie problem ruchu sieciowego. Bez sensu byłoby gdyby instalator za pierwszym razem "obraził" się na firewalla a za drugim już "był z nim ok". Poza tym ruchu wychodzącego w środowisku testowym w żaden sposób nie ograniczam.

Nowych użytkowników dodaję na serwerze i getent nie zwraca nic tak samo jak w przypadku użytkownika "admin".

Jakoś będę musiał z tym żyć Ważne, że instalacja przebiega DUŻO szybciej niż ipa-serwera

 

--

Piotrek

[Miszcz]

Właśnie o to chodzi, że instalacja "interaktywna" nie wymaga podawania niczego poza ewentualnymi parametrami typu "mkhomedir". Wszystkie pozostałe rzeczy wg dokumentacji powinno się podawać podczas instalacji. Co ciekawe przeładowanie nscd, sssd i sshd nie zmienia sytuacji. Jeśli chodzi o ruch do serwera (od klienta) to zmiana iptables pomiędzy pierwszą instalacją a drugą nie zachodzi - zatem to nie problem ruchu sieciowego. Bez sensu byłoby gdyby instalator za pierwszym razem "obraził" się na firewalla a za drugim już "był z nim ok". Poza tym ruchu wychodzącego w środowisku testowym w żaden sposób nie ograniczam.

Nowych użytkowników dodaję na serwerze i getent nie zwraca nic tak samo jak w przypadku użytkownika "admin".

Jakoś będę musiał z tym żyć Ważne, że instalacja przebiega DUŻO szybciej niż ipa-serwera

 

--

Piotrek

Nie chodzi o to czy ograniczasz ruch, tylko czy klient wie gdzie jest serwer.

 

Z tym niewidzeniem nowego użytkownika to trochę dziwe, ale jak mówiłem logi mogą powiedzieć ci wiecej.

[Sofcik]

Nie chodzi o to czy ograniczasz ruch, tylko czy klient wie gdzie jest serwer.

 

Z tym niewidzeniem nowego użytkownika to trochę dziwe, ale jak mówiłem logi mogą powiedzieć ci wiecej.

 

W logach nie ma nic ciekawego - nawet nie ma informacji czy operacja się udała mimo debugów ustawionych np na 6 dla sssd. Kerberos też milczy, secure jest "czyste".

A klient na pewno wie gdzie jest serwer - sprawdziłem wszystko: DNS, hosts, ustawienia sieci, rozwiązywanie nazw itp.i działa poprawnie.

I tak jak pisałem - za drugim podejściem do instalacji wszystko nagle ożywa.

 

--

Piotrek