freeipa - ошибка после восстановления из бекапа

1

4

На proxmox в lxc-контейнере вертелись два инстанса freeipa. После неудачного обновления контейнеры откатили на неделю назад штатными средствами бекапов proxmox. После этого перестало пускать в веб-морду:

Login failed due to an unknown reason.

и отрабатывать sudo-правила, хотя авторизация по ключу на сами сервера работают, сервисы которые были завязаны на ldap получают учетки.

В логах сыпет такое:

Sep 26 15:47:17 ipa.tc.example.ru systemd[1]: ipa-dnskeysyncd.service holdoff time over, scheduling restart.
Sep 26 15:47:17 ipa.tc.example.ru systemd[1]: Stopped IPA key daemon.
Sep 26 15:47:17 ipa.tc.example.ru systemd[1]: Started IPA key daemon.
Sep 26 15:47:21 ipa.tc.example.ru ipa-dnskeysyncd[18373]: ipa-dnskeysyncd: CRITICAL Kerberos authentication failed: Major (851968): Unspecified GSS failure.  Minor code may provide more information, Minor (2529639106): Credentials cache permissions incorrect (filename: /tmp/ipa-dnskeysyncd.ccache)
Sep 26 15:47:21 ipa.tc.example.ru systemd[1]: ipa-dnskeysyncd.service: main process exited, code=exited, status=1/FAILURE
Sep 26 15:47:21 ipa.tc.example.ru systemd[1]: Unit ipa-dnskeysyncd.service entered failed state.
Sep 26 15:47:21 ipa.tc.example.ru systemd[1]: ipa-dnskeysyncd.service failed.

Файла, на который ругается, нет:

# ls -la /tmp/ipa-dnskeysyncd.ccache
ls: cannot access /tmp/ipa-dnskeysyncd.ccache: No such file or directory

# ipactl status     
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: STOPPED
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

ntp не стартует т.к. он внутри контейнера, как я понимаю. Не помню - работал ли он до восстановления из бекапа.

# cat /etc/centos-release
CentOS Linux release 7.9.2009 (Core)
# rpm -q ipa-server
ipa-server-4.6.8-5.el7.centos.12.x86_64

←	Роутинг между двумя интерфейсами

Как ограничить скорость, отдельным зарвавшимся IP, с помошью TC

→

Версия с дивана, с freeipa не работал

У principal’ов в kerberos есть время, в течение которых они актуальны. Ну т.е. пока пароль не протухнет. При смене пароля старые keytab’ы превращаются в тыкву

Поэтому обычно сервисы, работающие с kerberos, сами время от времени обновляют пароль и забирают новый principal в keytab файл

Я бы предположил, что файл с ketyab’ом (/tmp/ipa-dnskeysyncd.ccache) не попал в бекап. Либо уже не актуален (пароль был сменен)

Соответственно, демона ipa-dnskeysyncd придётся заново дружить с доменом

Ну или другая не менее дурацкая версия:

Файла, на который ругается, нет:

У контейнера может быть своя ФС. Проверял именно в контейнере?

router ★★★★★
(26.09.23 16:18:08 MSK)

Ответ на: комментарий от router 26.09.23 16:18:08 MSK

Соответственно, демона ipa-dnskeysyncd придётся заново дружить с доменом

Ну или, если доступ к серверу kerberos ещё есть, попробовать найти principal, который соответсвует этому демону, вручную экспортировать его в файл, подкинуть этот файл ipa-dsnkeysyncd и посмотреть, взлетит ли он

kadmin -p adminname@REALM

> ktadd -k /tmp/ipa-dnskeysyncd.ccache principal@REALM

router ★★★★★
(26.09.23 16:23:44 MSK)

Ответ на: комментарий от router 26.09.23 16:18:08 MSK

Да, похоже на то:

# sudo -u ods /bin/bash -i
bash-4.2$  kinit -k -t /etc/ipa/dnssec/ipa-dnskeysyncd.keytab 
kinit: Keytab contains no suitable keys for host/ipa.tc.example.ru@TC.EXAMPLE.RU while getting initial credentials

Сейчас попробую перегенерить

Turbid ★★★★★
(26.09.23 16:31:17 MSK) автор топика
Последнее исправление: Turbid 26.09.23 16:31:54 MSK (всего исправлений: 1)

Ответ на: комментарий от Turbid 26.09.23 16:31:17 MSK

Подожди. ИМХО, для dns и не должно быть ключа HOST/

скорее там другой. посмотри содержимое так:

ktutil
> read_kt /etc/ipa/dnssec/ipa-dnskeysyncd.keytab
> list

router ★★★★★
(26.09.23 16:33:32 MSK)
Последнее исправление: router 26.09.23 16:33:46 MSK (всего исправлений: 1)

Ответ на: комментарий от router 26.09.23 16:33:32 MSK

slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    2 ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU
   2    2 ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU
   3    2 ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU
   4    2 ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU
   5    2 ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU
   6    2 ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU

Turbid ★★★★★
(26.09.23 16:35:28 MSK) автор топика

Ответ на: комментарий от Turbid 26.09.23 16:35:28 MSK

KNVO это и есть версия principal’a (ну или версия пароля)

в ldap ту же цифру можно увидеть в каком-то поле

Если пароль менялся, попробуй добавить в keytab новую версию через kadmin

router ★★★★★
(26.09.23 16:37:02 MSK)

Ответ на: комментарий от router 26.09.23 16:37:02 MSK

Если пароль менялся

Нет, не менялся.

Turbid ★★★★★
(26.09.23 16:45:13 MSK) автор топика

Ответ на: комментарий от router 26.09.23 16:37:02 MSK

Сделал:

ktadd -k /etc/ipa/dnssec/ipa-dnskeysyncd.keytab ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU

kinit -kt /etc/ipa/dnssec/ipa-dnskeysyncd.keytab
[20893] 1695738484.552523: Resolving unique ccache of type KEYRING
[20893] 1695738484.552524: Getting initial credentials for host/ipa.tc.example.ru@TC.EXAMPLE.RU
[20893] 1695738484.552525: Looked up etypes in keytab: (empty)
[20893] 1695738484.552526: Getting initial credentials for host/ipa.tc.example.ru@TC.EXAMPLE.RU
[20893] 1695738484.552527: Looked up etypes in keytab: (empty)
kinit: Keytab contains no suitable keys for host/ipa.tc.example.ru@TC.EXAMPLE.RU while getting initial credentials

Turbid ★★★★★
(26.09.23 17:30:02 MSK) автор топика
Последнее исправление: Turbid 26.09.23 17:30:34 MSK (всего исправлений: 1)

Ответ на: комментарий от Turbid 26.09.23 17:30:02 MSK

А его там и нет. И скорее всего не должно быть ;)

Возможно, подойдёт что-то вроде

kinit -kt /etc/ipa/dnssec/ipa-dnskeysyncd.keytab ipa-dnskeysyncd/ipa.tc.example.ru@TC.EXAMPLE.RU

Т.к. man kinit

By default, a host ticket for the local host is requested,  but any principal may be specified

router ★★★★★
(26.09.23 17:51:28 MSK)
Последнее исправление: router 26.09.23 18:10:04 MSK (всего исправлений: 1)

Ответ на: комментарий от router 26.09.23 17:51:28 MSK

Так, с dnskeysyncd разобрался - вызвал вручную эту функцию, файл ipa-dnskeysyncd.ccache появился и демон поднялся.

Но изначальная проблема осталась.

Turbid ★★★★★
(26.09.23 18:28:11 MSK) автор топика
Последнее исправление: Turbid 26.09.23 18:28:38 MSK (всего исправлений: 1)

Ответ на: комментарий от Turbid 26.09.23 18:28:11 MSK

вызвал вручную эту функцию, файл ipa-dnskeysyncd.ccache появился и демон поднялся

чудеса - на основном сервере это прокатило, а на реплике - нет

Turbid ★★★★★
(26.09.23 21:14:26 MSK) автор топика

Ответ на: комментарий от Turbid 26.09.23 21:14:26 MSK

А ещё на основном ты обновил /etc/ipa/dnssec/ipa-dnskeysyncd.keytab

Может функция ошибку вернула?

router ★★★★★
(26.09.23 22:20:56 MSK)

Ответ на: комментарий от Turbid 26.09.23 18:28:11 MSK

Но изначальная проблема осталась.

Изначальная проблема - авторизация в веб-морде? Скорее всего у неё тоже есть свой keytab

router ★★★★★
(26.09.23 22:21:41 MSK)

Проблему пока решил так - откатил на еще более древний бекап. Тут была другая проблема - он явно ругался на протухшие серты.

Починилось с помощью:

ipa-cert-fix

Turbid ★★★★★
(27.09.23 11:25:11 MSK) автор топика

←	Роутинг между двумя интерфейсами

Admin

Как ограничить скорость, отдельным зарвавшимся IP, с помошью TC

→

Похожие темы