FreeIPA Docker编写WEB
在花了几个小时寻找为什么我无法访问我的webUI之后,我转向你。我用船坞-合成在码头上安装了飞艇。我打开了一些端口以获得远程访问,使用主机ip:端口在我自己的计算机上。Freeipa应该在我的服务器(比如说192.168.1.2)和端口80 / 443 (192.168.1.4:80或192.168.1.4:443)上的任何其他本地计算机上访问webui。
当我运行我的.yaml文件时,freeipa设置了一条“ipa install命令是成功的”消息。
我认为它可能来自于我严格的iptable规则,并试图将所有要接受的策略都调试。不是它干的。
我有点不知所措,我如何才能破除这个或找到如何修复它。
OS :Ubuntu20.04.3 Docker版本: 20.10.12,build e91ed57 freeipa映像:freeipa/freeipa:centos-8流码头-合成版本: 1.29.2,build 5becea4c
我的.yaml文件:
version: "3.8"
services:
freeipa:
image: freeipa/freeipa-server:centos-8-stream
hostname: sanctuary
domainname: serv.sanctuary.local
container_name: freeipa-dev
ports:
- 80:80
- 443:443
- 389:389
- 636:636
- 88:88
- 464:464
- 88:88/udp
- 464:464/udp
- 123:123/udp
dns:
- 10.64.0.1
- 1.1.1.1
- 1.0.0.1
restart: unless-stopped
tty: true
stdin_open: true
environment:
IPA_SERVER_HOSTNAME: serv.sanctuary.local
IPA_SERVER_IP: 192.168.1.100
TZ: "Europe/Paris"
command:
- -U
- --domain=sanctuary.local
- --realm=sanctuary.local
- --admin-password=pass
- --http-pin=pass
- --dirsrv-pin=pass
- --ds-password=pass
- --no-dnssec-validation
- --no-host-dns
- --setup-dns
- --auto-forwarders
- --allow-zone-overlap
- --unattended
cap_add:
- SYS_TIME
- NET_ADMIN
restart: unless-stopped
volumes:
- /etc/localtime:/etc/localtime:ro
- /sys/fs/cgroup:/sys/fs/cgroup:ro
- ./data:/data
- ./logs:/var/logs
sysctls:
- net.ipv6.conf.all.disable_ipv6=0
- net.ipv6.conf.lo.disable_ipv6=0
security_opt:
- "seccomp:unconfined"
labels:
- dev我试图修改部署文件(添加或删除internet上的conf,例如添加/删除IPA_SERVER_IP,添加/删除外部桥网络)
非常感谢你的帮助
回答 1
Stack Overflow用户
发布于 2022-04-16 13:25:18
好吧,对于那些可能有同样问题的人,我会解释我做了什么来调试这个问题。
我广泛地重申了在这里找到的答案:https://floblanc.wordpress.com/2017/09/11/troubleshooting-freeipa-pki-tomcatd-fails-to-start/
首先,我使用ipactl status检查了每个服务的状态。根据问题的不同,您可能有不同的输出,但我的输出如下:
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: STOPPED
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful因此,我检查了有关tomcat /var/log/pki/pki-tomcat/ca/debug-xxxx的日志。我意识到我有与证书有关的东西的connection refused。
在这里,我首先检查了我的证书是否存在于使用/etc/pki/pki-tomcat/alias的sudo certutil -L -d /etc/pki/pki-tomcat/alias -n 'subsystemCert cert-pki-ca'中。
## output :
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4 (0x4)
...
...然后,我确保可以使用/var/lib/pki/pki-tomcat/conf/password.conf (带有标记internal=…)中的密码读取私钥。
grep internal /var/lib/pki/pki-tomcat/conf/password.conf | cut -d= -f2 > /tmp/pwdfile.txtcertutil -K -d /etc/pki/pki-tomcat/alias -f /tmp/pwdfile.txt -n 'subsystemCert cert-pki-ca'我仍然没有什么奇怪的事情,所以我认为在这一点上:
- pki-tomcat能够访问证书和私钥
- ,该问题很可能出现在LDAP服务器端
上。
我尝试读取LDAP中的用户条目,以便使用ldapsearch -LLL -D 'cn=directory manager' -W -b uid=pkidbuser,ou=people,o=ipaca userCertificate description seeAlso将其与证书进行比较,但输入密码后出错。因为我的证书是安全的,而且LDAP服务正在运行,所以我认为证书日期有问题。
实际上,在安装期间,freeipa使用您当前的系统日期作为基础来设置证书。但是它还安装了用于服务器时间同步的时间序列。重新启动后,我的时间安排是错误的,并将我的主机日期提前了2年。
我无法解决时间结构的问题,所以我停止了服务,并使用timedatectl set-time "yyyy-mm-dd hh:mm:ss"手动设置日期。
我重新启动了freeipa服务,我的pki-tomcat服务又开始工作了。
之后,我将路由器中的freeipa IP设置为DNS。我重新启动了本地网络中的服务和计算机,从而刷新了DNS配置。在那之后,webUI是可访问的!
https://stackoverflow.com/questions/71096130
复制相似问题
腾讯云开发者
