Bug 51065 - Не устанавливается в режиме CA-less
Summary: Не устанавливается в режиме CA-less
Status: CLOSED NOTABUG
Alias: None
Product: Branch p11
Classification: Unclassified
Component: freeipa (show other bugs)
Version: unspecified
Hardware: x86_64 Linux
: P5 normal
Assignee: Stanislav Levin
QA Contact: qa-p11@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-08-05 16:22 MSK by Alexander Makeenkov
Modified: 2024-09-11 16:16 MSK (History)
0 users

See Also:

Attachments
ca-less-ipaserver-install.log (18.67 KB, text/x-log)
2024-08-05 16:22 MSK, Alexander Makeenkov 		no flags Details
новый лог установки (18.63 KB, text/x-log)
2024-08-20 11:35 MSK, Alexander Makeenkov 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Alexander Makeenkov 2024-08-05 16:22:25 MSK 
Created attachment 16559 [details]
ca-less-ipaserver-install.log

Версия пакета: 4.11.1-alt3

Установка и настройка согласно https://www.altlinux.org/FreeIPA/Установка_сервера_FreeIPA#Установка_сервера_FreeIPA_в_режиме_CA-less

Запуск ipa-server-install завершается ошибкой: The server certificate in /root/test_ca/servercert.p12 is not valid: invalid for server ipa.example.test

Полный лог установки во вложении.
В обычном режиме (без CA-less) ошибок нет.

Не воспроизводится в p10.
В сизифе ошибка другая: https://bugzilla.altlinux.org/51063
Comment 1 Stanislav Levin 2024-08-19 18:46:42 MSK 
Было ли изменено имя хоста до генерации сертификатов?

В приведенной ссылке на инструкцию, CN должен быть:
certutil -d ~/test_ca -R -s CN=$HOSTNAME,O=IPA -o /tmp/servercert.req -k rsa -g 2048 -z ~/test_ca/noise.txt -f ~/test_ca/password.txt -a --extSKID

В тоже время в логе установки:

2024-08-05T12:33:05Z DEBUG Check if ipa.example.test is a primary hostname for localhost
2024-08-05T12:33:05Z DEBUG Primary hostname for localhost: ipa.example.test
2024-08-05T12:33:05Z DEBUG will use host_name: ipa.example.test

имя хоста *задано* перед установкой (ок).

Но после импорта сертификата CN ссылается на другое имя:

2024-08-05T12:33:10Z DEBUG args=['/usr/bin/certutil', '-d', 'sql:/tmp/.private/root/tmpy_6y48db', '-O', '--simple-self-signed', '-n', 'Server-Cert', '-f', '/tmp/.private/root/tmpy_6y48db/pwdfile.txt']
2024-08-05T12:33:10Z DEBUG Process finished, return code=0
2024-08-05T12:33:10Z DEBUG stdout="CA" [CN=Certificate Authority]

  "Server-Cert" [CN=localhost-20240805.localdomain,O=IPA]

Сертификат был сгенерирован до изменения имени хоста *или* переменная HOSTNAME осталась неизмененной.
Comment 2 Alexander Makeenkov 2024-08-20 09:33:11 MSK 
(Ответ для Stanislav Levin на комментарий #1)
> Сертификат был сгенерирован до изменения имени хоста

Нет, имя хоста менялось в первую очередь.
Командой `# hostnamectl set-hostname ipa.example.test`

> переменная HOSTNAME осталась неизмененной

Посмотрю.
Comment 3 Alexander Makeenkov 2024-08-20 11:35:26 MSK 
Created attachment 16654 [details]
новый лог установки

> переменная HOSTNAME осталась неизмененной

Скорее всего не перезагрузил систему после смены имени хоста.
После перезагрузки эта переменная изменяется.

Однако, ошибка установки сервера никуда не делась.
В логах "Server-Cert" [CN=ipa.example.test,O=IPA]

Новый лог во вложении.
Comment 4 Stanislav Levin 2024-09-02 12:29:19 MSK 
Инструкция некорректна.

https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/managing_certificates_in_idm/understanding-what-certificates-are-used-by-idm_managing-certificates-in-idm#certificates-internal-to-idm_understanding-what-certificates-are-used-by-idm

Для HTTPD, LDAP TLS/STARTTLS нужно генерировать SAN.
Для PKINIT id-pkinit-KPkdc.
Comment 5 Alexander Makeenkov 2024-09-11 16:16:47 MSK 
(Ответ для Stanislav Levin на комментарий #4)
> Для HTTPD, LDAP TLS/STARTTLS нужно генерировать SAN.
> Для PKINIT id-pkinit-KPkdc.

Получилось, спасибо. Сервер установился.