Назад | Перейти на главную страницу

Почему не удается установить ipa-client-install при загрузке сертификата CA

Я хочу настроить централизованное управление пользователями. Сначала для предоставления доступа к серверам Linux, а затем и для предоставления доступа к другим службам через LDAP. Поскольку я новичок в этом, я провел небольшое исследование в Google и думаю, что FreeIPA будет соответствовать нашим требованиям.

Я установил сервер CentOS 8 и установил сервер FreeIPA. Это было довольно просто, и я могу войти в веб-интерфейс. Я не использую FreeIPA DNS, так как у нас есть отдельный DNS-сервер. Для своей тестовой установки я вообще не использую DNS-сервер, а просто добавил запись клиента в файл хоста сервера FreeIPA и добавил запись сервера в файл хоста клиента FreeIPA. Я могу пинговать сервер от клиента и наоборот по его полному доменному имени и имени хоста.

Мой клиент - это клиент Ubuntu server 20.04, я установил freeipa-client и попытался настроить его с помощью команды ipa-client-install --mkhomedir --no-ntp. Я последовал за мастером:

  1. Домен IPA-сервера = internal.domain.com
  2. Имя IPS-сервера = ipasrv-hostname
  3. Продолжить с фиксированными значениями DNS = да
  4. Настроить клиент с этими значениями = да
  5. Пользователь, авторизованный для регистрации компьютеров = admin
  6. пароль для admin@ipasrv-hostname.internal.domain.com = пароль вне курса
  7. Вы хотите загрузить сертификат CA из http: //axx-fipa-srv01/ipa/config/ca.crt? <= Я здесь застрял!

Когда я выбираю "да", я получаю:

Downloading the CA certificate via HTTP, this is INSECURE
Successfully retrieved CA cert
Joining realm failed: libcurl failed to execute the HTTP POST transaction, explaining:  error setting certificate verify locations:
  CAfile: /etc/ipa/ca.crt
  CApath: /etc/ssl/certs

Installation failed. Rolling back changes.

Когда я выбираю нет, конфигурация напрямую не выполняется:

Cannot obtain CA certificate
HTTP certificate download declined by user
Installation failed. Rolling back changes.
Disabling client Kerberos and LDAP configurations
nscd daemon is not installed, skip configuration
nslcd daemon is not installed, skip configuration
Client uninstall complete.

Конечно, я проверил журналы и погуглил об ошибке, но пока не смог решить эту проблему.

Что я делаю не так?

Также меня немного беспокоит предупреждение о том, что получение CA.crt через URL-адрес (http) небезопасно. Я понимаю, почему, но как я могу решить эту проблему? Вручную "установить" сертификаты на клиенте? откуда их взять и где разместить?

Обновить

@Gerald SchneiderКомментарий заставил меня подумать, что это действительно может быть проблема с разрешением. Как я понимаю это libcurl failed to execute the HTTP POST transaction, explaining: error setting certificate verify locations ну, это означает, что он пытается что-то "установить" на сервере FreeIPA, но сервер / приложение не может писать в /etc/ipa и /etc/ssl/cert папка. Могу я это проверить?