Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

IdM Healthcheck を使用した IdM 環境の監視

Red Hat Enterprise Linux 8

ステータスチェックとヘルスチェックの実行

Red Hat Customer Content Services

概要

ipa-healthcheck ユーティリティーは、管理者が Red Hat Identity Management (IdM) 環境の問題を検出するのに役立ちます。これには、IdM サービスのステータスチェック、設定ファイルのアクセスパーミッション、レプリケーションステータス、証明書の問題が含まれます。

Red Hat ドキュメントへのフィードバック (英語のみ)

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

  1. Jira の Web サイトにログインします。
  2. 上部のナビゲーションバーで Create をクリックします。
  3. Summary フィールドにわかりやすいタイトルを入力します。
  4. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
  5. ダイアログの下部にある Create をクリックします。

第1章 IdM Healthcheck ツールのインストールおよび実行

IdM Healthcheck ツールと、ツールのインストールおよび実行方法を詳しく説明します。

注記
  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

1.1. IdM の Healthcheck

Identity Management (IdM) の Healthcheck コマンドラインツールは、IdM 環境のパフォーマンスに影響を与える可能性のある問題を見つけるのに役立ちます。Healthcheck を使用すると、問題を事前に特定して、重大になる前に修正することができます。

注記

Kerberos チケットを取得せずに Healthcheck を使用できます。

モジュールは独立しています

ヘルスチェックは、以下の項目をチェックする独立したモジュールで設定されています。

  • レプリケーションの問題
  • 証明書の有効性
  • 認証局のインフラストラクチャーの問題
  • IdM および Active Directory の信頼の問題
  • ファイルのパーミッションと所有権の正しい設定

出力形式と出力先

output-type オプションを使用して、Healthcheck が生成する次の出力の種類を設定できます。

  • JSON: マシンが判読できる出力 (デフォルト)
  • human: 人間が判読できる出力

--output-file オプションを使用して、出力を保存するファイルを指定できます。

結果

Healthcheck の各モジュールは、次のいずれかの結果を返します。

SUCCESS
システムは期待どおりに設定されています。
WARNING
設定を監視または評価することを推奨します。
ERROR
システムが期待どおりに設定されていません。
CRITICAL
設定が予想どおりではなく、IdM デプロイメントの機能に大きな影響を与える可能性があります。

関連情報

  • man ipa-healthcheck

1.2. IdM Healthcheck のインストール

IdM ヘルスチェックツールをインストールする方法について説明します。

前提条件

  • root でログインしている。

手順

  • ipa-healthcheck パッケージをインストールします。

    Copy to Clipboard Toggle word wrap 
    [root@server ~]# yum install ipa-healthcheck
    注記

    RHEL 8.1 および 8.2 システムでは、代わりに yum install /usr/bin/ipa-healthcheck コマンドを使用します。

検証

  • 基本的なヘルスチェックテストを実行します。

    Copy to Clipboard Toggle word wrap 
    [root@server ~]# ipa-healthcheck
[]

    空の角括弧 [] は、完全に機能する IdM インストールを示します。

関連情報

  • サポートされているすべての引数を確認するには、ipa-healthcheck --help を実行します。

1.3. IdM Healthcheck の実行

ヘルスチェックテストは、次のいずれかの方法で実行できます。

このセクションでは、テストを手動で実行する方法について説明します。

前提条件

手順

  1. [オプション] 利用可能なすべてのヘルスチェックテストのリストを表示するには、次のように入力します。

    Copy to Clipboard Toggle word wrap 
    [root@server ~]# ipa-healthcheck --list-sources

  2. Healthcheck ユーティリティーを実行するには、次のように入力します。

    Copy to Clipboard Toggle word wrap 
    [root@server ~]# ipa-healthcheck

関連情報

  • man ipa-healthcheck

1.4. ログローテーション

ログローテーションにより毎日新しいログファイルが作成され、ファイルは日付順に整理されます。ファイル名に日付が含まれます。

ログローテーションを使用すると、保存されるログファイルの最大数を設定できます。この数を超えると、最も古いファイルが最新のファイルに置き換えられます。たとえば、最大ローテーション数が 30 の場合、31 番目のログファイルによって最初の、つまり最も古いログファイルが置き換えられます。

ログローテーションにより、膨大なログファイルが削減され、整理されます。これはログの分析に役立ちます。

1.5. IdM ヘルスチェックをスケジュールに従って実行する

IdM ヘルスチェックをスケジュールに従って実行するように設定するには、次の手順に従います。これには、次のユーティリティーの設定が含まれます。

  • Healthcheck ツールを定期的に実行し、ログを生成する systemd タイマー。
  • ログのローテーションを確実に行う crond サービス。

デフォルトのログ名は healthcheck.log で、ローテーションされるログは healthcheck.log-YYYYMMDD 形式を使用します。

注記

ヘルスチェックタイマーツールはリアルタイムツールではありません。1 時間に数回のみ実行されることを想定しています。たとえば、サービスやディスク容量をリアルタイムで監視する必要がある場合は、別のツールを使用します。

前提条件

  • root 権限がある。

手順

  1. systemd タイマーを有効にします。

    Copy to Clipboard Toggle word wrap 
    # systemctl enable ipa-healthcheck.timer
Created symlink /etc/systemd/system/multi-user.target.wants/ipa-healthcheck.timer -> /usr/lib/systemd/system/ipa-healthcheck.timer.

  2. systemd タイマーを起動します。

    Copy to Clipboard Toggle word wrap 
    # systemctl start ipa-healthcheck.timer

  3. /etc/logrotate.d/ipahealthcheck ファイルを開いて、保存するログの数を設定します。

    Copy to Clipboard Toggle word wrap 
    [...]
    rotate 30
}

    デフォルトでは、ログは 30 日間保存され、その後新しいログに上書きされます。

  4. 同じファイルで、ログを保存するファイルへのパスを設定します。

    Copy to Clipboard Toggle word wrap 
    /var/log/ipa/healthcheck/healthcheck.log {
[...]

    デフォルトでは、ログは /var/log/ipa/healthcheck/ ディレクトリーに保存されます。

  5. ファイルを保存します。

  6. crond サービスが有効になっていて実行されていることを確認します。

    Copy to Clipboard Toggle word wrap 
    # systemctl enable crond
# systemctl start crond

  7. ログの生成を開始するには、IdM ヘルスチェックサービスを開始します。

    Copy to Clipboard Toggle word wrap 
    # systemctl start ipa-healthcheck

検証

  1. /var/log/ipa/healthcheck/ ディレクトリーに移動します。
  2. ログファイルの内容を表示して、正しく作成されたかどうかを確認します。

1.6. IdM ヘルスチェック設定の変更

必要なコマンドラインオプションを /etc/ipahealthcheck/ipahealthcheck.conf ファイルに追加することで、Identity Management (IdM) ヘルスチェック設定を変更できます。これは、たとえば、以前にログのローテーションを設定していて、ログが自動分析に適した形式であることを確認したいが、新しいタイマーを設定したくない場合に役立ちます。

注記

この Healthcheck 機能は、RHEL 8.7 以降でのみ利用できます。

変更後、Healthcheck が作成するすべてのログは、新しい設定に従います。この設定は、Healthcheck の手動実行にも適用されます。

注記

Healthcheck を手動で実行する場合、設定ファイルの設定はコマンドラインで指定されたオプションよりも優先されます。たとえば、設定ファイルで output_typehuman に設定されている場合、コマンドラインで json を指定しても効果はありません。設定ファイルで指定されていないコマンドラインオプションを使用すると、通常どおり適用されます。

1.7. 出力ログの形式を変更するための Healthcheck の設定

すでに設定されているタイマーを使用して Healthcheck を設定するには、次の手順に従ってください。この例では、Healthcheck を再設定して、人間が読める形式でログを生成し、エラーだけでなく成功した結果も含めるようにします。

前提条件

  • システムで RHEL 8.7 以降を実行している。
  • root 権限がある。
  • 以前にタイマーを使用してログローテーションを設定していた。

手順

  1. テキストエディターで /etc/ipahealthcheck/ipahealthcheck.conf ファイルを開きます。
  2. [default] セクションに、オプション output_type=humanall=True を追加します。
  3. ファイルを保存してから閉じます。

検証

  1. Healthcheck を手動で実行します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck
  2. /var/log/ipa/healthcheck/ に移動し、ログの形式が正しいことを確認します。

1.8. 関連情報

第2章 IdM Healthcheck を使用したサービスの確認

Healthcheck ツールを使用して、Identity Management (IdM) サーバーによって使用されるサービスを監視できます。

前提条件

  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

2.1. IdM サービスのヘルスチェックテスト

ヘルスチェックツールには、Identity Management (IdM) サービスが正しく実行されているかどうかを確認するテストが含まれています。IdM サービスが正しく実行されていないと他のヘルスチェックテストが失敗する可能性があるため、このヘルスチェックテストから開始してください。

サービステストは、設定されている機能に基づいてコンテキスト固有になります。たとえば、named は、統合 IdM DNS サービスが IdM サーバー上に設定されている場合にのみチェックされます。smbwinbind などのその他のものは、IdM-AD 信頼が有効になっている場合にのみチェックされます。

テストで評価される IdM サービスのリストは次のようになります。

  • certmonger
  • dirsrv
  • gssproxy
  • httpd
  • ipa_custodia
  • ipa_dnskeysyncd
  • ipa_otpd
  • kadmin
  • krb5kdc
  • named
  • pki_tomcatd
  • sssd

このリストは 、ipa-healthcheck --list-sources コマンドを実行し、出力で ipahealthcheck.meta.services セクションを特定することで表示できます。

2.2. Healthcheck を使用した IdM サービスのスクリーニング

Healthcheck ツールを使用して、Identity Management (IdM) サーバー上で実行されているサービスのスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.meta.services
    • --source=ipahealthcheck.meta.services オプションにより、IdM Healthcheck はサービステストのみを実行します。
    • --failures-only オプションはデフォルトで有効になっており、IdM Healthcheck が警告、エラー、および重大な問題のみを報告するようになります。

テストに成功すると、空の括弧が表示されます。

Copy to Clipboard Toggle word wrap 
[ ]

サービスのいずれかが失敗した場合は、以下のような結果になります。

Copy to Clipboard Toggle word wrap 
{
  "source": "ipahealthcheck.meta.services",
  "check": "httpd",
  "result": "ERROR",
  "kw": {
    "status": false,
    "msg": "httpd: not running"
  }
}
注記

問題を発見しようとするときは、すべての IdM サーバーでこのテストを実行します。

関連情報

第3章 IdM Healthcheck を使用したディスク容量の確認

Healthcheck ツールを使用して、Identity Management サーバーの空きディスク容量を監視できます。

前提条件

  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

3.1. ディスク領域のヘルスチェックのテスト

Healthcheck ツールには、使用可能なディスク容量をチェックするための FileSystemSpaceCheck テストが含まれています。テストでは次の点をチェックします。

  • 最低限必要な生の空きバイト。
  • パーセント - 空きディスクの最小容量は 20% にハードコーディングされています。

テストでは、以下のパスを確認します。

表3.1 テストされるパス
テストで確認されるパス最小ディスク容量 (MB)

/var/lib/dirsrv/

1024

/var/lib/ipa/backup/

512

/var/log/

1024

var/log/audit/

512

/var/tmp/

512

/tmp/

512

ディスクの空き容量が不足すると、次のような問題が発生する可能性があります。

  • ロギング
  • 実行
  • バックアップ

FileSystemSpaceCheck テストを見つけるには 、ipa-healthcheck --list-sources コマンドを実行し、出力で ipahealthcheck.system.filesystemspace セクションを特定します。

3.2. ヘルスチェックツールを使用したディスク容量のスクリーニング

Healthcheck ツールを使用して、Identity Management (IdM) サーバー上の利用可能なディスク容量のスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.system.filesystemspace
    • --source=ipahealthcheck.meta.services オプションにより、IdM Healthcheck はディスク領域テストのみを実行します。

テストに成功すると、空の括弧が表示されます。

Copy to Clipboard Toggle word wrap 
[]

テストに失敗すると、たとえば、以下のような結果が表示されます。

Copy to Clipboard Toggle word wrap 
{
  "source": "ipahealthcheck.system.filesystemspace",
  "check": "FileSystemSpaceCheck",
  "result": "ERROR",
  "kw": {
    "msg": "/var/lib/dirsrv: free space under threshold: 0 MiB < 1024 MiB",
    "store": "/var/lib/dirsrv",
    "free_space": 0,
    "threshold": 1024
  }
}

この失敗したテストは 、/var/lib/dirsrv ディレクトリーに使用可能なスペースがないことを通知します。

注記

問題を発見しようとするときは、すべての IdM サーバーでこのテストを実行します。

関連情報

第4章 Healthcheck を使用した IdM 設定ファイルのパーミッションの確認

Healthcheck ツールを使用して Identity Management (IdM) 設定ファイルをテストする方法を詳しく説明します。

前提条件

  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

4.1. ファイルパーミッションの Healthcheck テスト

Healthcheck ツールは、Identity Management (IdM) によってインストールまたは設定されたファイルの所有権と権限をテストします。

これらのファイルの所有権または権限を変更すると、テストは 結果 セクションに警告を返します。これは必ずしも設定が機能しないことを意味するわけではありませんが、ファイルがデフォルトの設定と異なることを意味します。

ファイル権限テストは、ipa-healthcheck --list-sources コマンドの出力の ipahealthcheck.ipa.files ソースの下にあります。

IPAFileNSSDBCheck
このテストでは、389-ds NSS データベースと、関連する場合は認証局 (CA) データベースをチェックします。389-ds データベースは、/etc/dirsrv/slapd-<dashed-REALM> にあり、CA データベースは /etc/pki/pki-tomcat/alias/ にあります。
IPAFileCheck

このテストでは、以下のファイルを確認します。

  • /var/lib/ipa/ra-agent.{key|pem}
  • /var/lib/ipa/certs/httpd.pem
  • /var/lib/ipa/private/httpd.key
  • /etc/httpd/alias/ipasession.key
  • /etc/dirsrv/ds.keytab
  • /etc/ipa/ca.crt
  • /etc/ipa/custodia/server.keys
  • /etc/resolv.conf

  • /etc/hosts

    PKINIT が有効な場合は、次の項目もテストします。

  • /var/lib/ipa/certs/kdc.pem

  • /var/lib/ipa/private/kdc.key

    DNS が設定されている場合は、次の内容もテストします。

  • /etc/named.keytab
  • /etc/ipa/dnssec/ipa-dnskeysyncd.keytab
TomcatFileCheck

このテストでは、特定の tomcat 固有のファイルをチェックします。

  • /etc/pki/pki-tomcat/password.conf
  • /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
  • /etc/pki/pki-tomcat/server.xml

4.2. Healthcheck を使用した設定ファイルのスクリーニング

Healthcheck ツールを使用して Identity Management (IdM) サーバーの設定ファイルのスタンドアロン手動テストを実行するには、次の手順に従います。

Healthcheck ツールには多くのテストが含まれています。結果を絞り込むには、以下を行います。

  • 所有者テストとパーミッションテストのみを含める - --source=ipahealthcheck.ipa.files

手順

  1. IdM 設定ファイルの所有権とパーミッションについて Healthcheck テストを実行し、警告、エラー、重大な問題のみを表示するには、次のように入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.ipa.files

テストに成功すると、空の括弧が表示されます。

Copy to Clipboard Toggle word wrap 
# ipa-healthcheck --source=ipahealthcheck.ipa.files
[]

テストに失敗すると、以下の WARNING のような結果が表示されます。

Copy to Clipboard Toggle word wrap 
{
  "source": "ipahealthcheck.ipa.files",
  "check": "IPAFileNSSDBCheck",
  "result": "WARNING",
  "kw": {
    "key": "_etc_dirsrv_slapd-EXAMPLE-TEST_pkcs11.txt_mode",
    "path": "/etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt",
    "type": "mode",
    "expected": "0640",
    "got": "0666",
    "msg": "Permissions of /etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt are 0666 and should be 0640"
  }
}
注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行します。

関連情報

第5章 IdM Healthcheck を使用した DNS レコードの確認

Healthcheck ツールを使用して、Identity Management (IdM) の DNS レコードの問題を特定できます。

前提条件

  • Healthcheck ツールは、RHEL 8.2 以降でのみ利用できます。

5.1. DNS レコードのヘルスチェックテスト

Healthcheck ツールには、自動検出に必要な予想される DNS レコードが解決可能であるかどうかを確認するための IPADNSSystemRecordsCheck テストが含まれています。具体的には、テストでは、ログインしている IdM サーバーの /etc/resolv.conf ファイルに指定されている最初のリゾルバーを使用して 、ipa dns-update-system-records --dry-run コマンドによって取得された DNS レコードをチェックします。

IPADNSSystemRecordsCheck テストは、ipa-healthcheck --list-sources コマンドの出力の ipahealthcheck.ipa.idns ソースの下にあります。

5.2. ヘルスチェックツールを使用した IdM DNS レコードのスクリーニング

Healthcheck ツールを使用して、Identity Management (IdM) サーバー上の DNS レコードのスタンドアロン手動テストを実行するには、次の手順に従います。

Healthcheck ツールには多くのテストが含まれています。--source ipahealthcheck.ipa.idns オプションを追加して、DNS レコードテストだけを含めることで結果を絞り込むことができます。

前提条件

  • root 権限がある。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source ipahealthcheck.ipa.idns

    • --source ipahealthcheck.ipa.idns オプションにより、IdM Healthcheck は DNS レコードテストのみを実行します。

      レコードが解決可能である場合には、テストの結果として SUCCESS が返されます。

      Copy to Clipboard Toggle word wrap 
      {
    "source": "ipahealthcheck.ipa.idns",
    "check": "IPADNSSystemRecordsCheck",
    "result": "SUCCESS",
    "uuid": "eb7a3b68-f6b2-4631-af01-798cac0eb018",
    "when": "20200415143339Z",
    "duration": "0.210471",
    "kw": {
      "key": "_ldap._tcp.idm.example.com.:server1.idm.example.com."
    }
}

      たとえば、レコードの数が想定数と一致しないなどの場合には、WARNING が返されます。

    Copy to Clipboard Toggle word wrap 
    {
    "source": "ipahealthcheck.ipa.idns",
    "check": "IPADNSSystemRecordsCheck",
    "result": "WARNING",
    "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
    "when": "20200409100614Z",
    "duration": "0.203049",
    "kw": {
      "msg": "Got {count} ipa-ca A records, expected {expected}",
      "count": 2,
      "expected": 1
    }
}

関連情報

第6章 IdM Healthcheck を使用した KDC ワーカープロセスの最適な数の検証

Identity Management (IdM) の Healthcheck ツールを使用して、最適な数の krb5kdc ワーカープロセスを使用するように Kerberos Key Distribution Center (KDC) が設定されていることを確認できます。これは、ホストの CPU コアの数と同じにする必要があります。

前提条件

  • RHEL 8.7 以降を使用しています。
  • root 権限がある。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source ipahealthcheck.ipa.kdc

    • --source ipahealthcheck.ipa.kdc オプションにより、IdM Healthcheck は KDCWorkersCheck テストのみを実行します。

      KDC ワーカープロセスの数が CPU コアの数と一致する場合、結果として SUCCESS が返されます。

      Copy to Clipboard Toggle word wrap 
      {
	"source": "ipahealthcheck.ipa.kdc",
	"check": "KDCWorkersCheck",
	"result": "SUCCESS",
	"uuid": "68f6e20a-0aa9-427d-8fdc-fbb8196d56cd",
	"when": "20230105162211Z",
	"duration": "0.000157",
	"kw": {
  	"key": "workers"
	}
}

      ワーカープロセスの数が CPU コアの数と一致しない場合、WARNING が返されます。次の例では、2 つのコアを持つホストが 1 つの KDC ワーカープロセスのみを持つように設定されています。

      Copy to Clipboard Toggle word wrap 
      {
    "source": "ipahealthcheck.ipa.kdc",
    "check": "KDCWorkersCheck",
    "result": "WARNING",
    "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
    "when": "20230105122236Z",
    "duration": "0.203049",
    "kw": {
      "key": ‘workers’,
      "cpus": 2,
      "workers": 1,
      "expected": "The number of CPUs {cpus} does not match the number of workers {workers} in {sysconfig}"
    }
}

      設定されたワーカーがない場合も、WARNING が出力されます。次の例では、KRB5KDC_ARGS 変数が /etc/sysconfig/krb5kdc 設定ファイルにありません。

    Copy to Clipboard Toggle word wrap 
      {
    "source": "ipahealthcheck.ipa.kdc",
    "check": "KDCWorkersCheck",
    "result": "WARNING",
    "uuid": "5d63ea86-67b9-4638-a41e-b71f4
56efed7",
    "when": "20230105162526Z",
    "duration": "0.000135",
    "kw": {
      "key": "workers",
      "sysconfig": "/etc/sysconfig/krb5kdc",
      "msg": "KRB5KDC_ARGS is not set in {sysconfig}"
    }
  }

関連情報

第7章 Healthcheck を使用した IdM レプリケーションの確認

Healthcheck ツールを使用して、Identity Management (IdM) レプリケーションをテストできます。

前提条件

  • RHEL バージョン 8.1 以降を使用している。

7.1. IdM のレプリケーションとトポロジーのヘルスチェックテスト

ヘルスチェックツールには、アイデンティティー管理 (IdM) トポロジー設定のテストが含まれています。テストでは、レプリケーション競合の問題を検索します。

IPATopologyDomainCheck テストと ReplicationConflictCheck テストは 、ipa-healthcheck --list-sources コマンドの出力の ipahealthcheck.ipa.topology および ipahealthcheck.ds.replication ソースの下にあります。

IPATopologyDomainCheck

次の設定をテストします。

  • IdM サーバーはトポロジーから切断されません。
  • IdM サーバーには、推奨される数を超えるレプリカ合意がありません。

テストに成功すると、設定済みのドメインが返されます。成功しなかった場合は、特定の接続エラーが報告されます。

注記

このテストでは、domain 接尾辞に対して ipa topologysuffix-verify コマンドを実行します。このサーバーで IdM Certificate Authority サーバーロールが設定されている場合は、ca 接尾辞のコマンドも実行されます。

ReplicationConflictCheck
LDAP 内で (&(!(objectclass=nstombstone))(nsds5ReplConflict=*)) に一致するエントリーを検索します。

7.2. Healthcheck を使用したレプリケーションのスクリーニング

Healthcheck ツールを使用して、Identity Management (IdM) レプリケーションとトポロジー設定のスタンドアロン手動テストを実行するには、次の手順に従います。

前提条件

  • root 権限がある。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.ds.replication --source=ipahealthcheck.ipa.topology
    • --source=ipahealthcheck.ds.replication および --source=ipahealthcheck.ipa.topology オプションにより、IdM Healthcheck はレプリケーション競合とトポロジーテストのみを実行します。

    以下のような 4 つの結果が取得できます。

    • SUCCESS  - テストに成功

      Copy to Clipboard Toggle word wrap 
      {
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "SUCCESS",
  "kw": {
    "suffix": "domain"
  }
}
    • WARNING - テストには成功したが、問題の可能性あり

    • ERROR - テストが失敗

      Copy to Clipboard Toggle word wrap 
      {
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "ERROR",
  "uuid": d6ce3332-92da-423d-9818-e79f49ed321f
  "when": 20191007115449Z
  "duration": 0.005943
  "kw": {
    "msg": "topologysuffix-verify domain failed, server2 is not connected (server2_139664377356472 in MainThread)"
  }
}
    • CRITICAL - テストが失敗し、IdM サーバー機能に影響が及ぶ
注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行します。

関連情報

7.3. 関連情報

第8章 IdM Healthcheck を使用した IdM および AD 信頼設定の検証

Healthcheck ツールを使用して、Identity Management (IdM) と Active Directory (AD) 間の信頼に関する問題を特定する方法について詳しく学習します。

前提条件

  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

8.1. IdM および AD 信頼の Healthcheck のテスト

Healthcheck ツールには、Identity Management (IdM) と Active Directory (AD) 間の信頼の状態をテストするためのいくつかのテストが含まれています。

すべての信頼テストを表示するには、--list-sources オプションを指定して ipa-healthcheck を実行します。

Copy to Clipboard Toggle word wrap 
# ipa-healthcheck --list-sources

信頼に関連するすべてのテストは、ipahealthcheck.ipa.trust ソースの下にあります。

IPATrustAgentCheck
このテストは、現在のホストが信頼エージェントとして設定されているかどうか、SSSD 設定を確認します。/etc/sssd/sssd.conf 内の各ドメインで、id_provider=ipa は、ipa_server_modeTrue であることを確認します。
IPATrustDomainsCheck
このテストでは、sssctl domain-list のドメインリストと、IdM ドメインを除いた ipa trust-find のドメインリストを比較して、信頼ドメインが SSSD ドメインと一致するかどうかを確認します。
IPATrustCatalogCheck

このテストは、AD ユーザー Administrator@REALM を解決します。これにより、sssctl domain-status の出力に、AD Global カタログと AD Domain Controller の値が追加されます。

各信頼ドメインについて、SID + 500 (管理者 ID) の ID を持つユーザーを検索し、sssctl domain-status <domain> --active-server の出力をチェックして、ドメインがアクティブであることを確認します。

IPAsidgenpluginCheck
このテストでは、IdM 389-ds インスタンスで sidgen プラグインが有効になっていることを確認します。このテストでは、cn=plugins,cn=configIPA SIDGEN プラグインおよび ipa-sidgen-task プラグインに、nsslapd-pluginEnabled オプションが含まれていることも検証します。
IPATrustAgentMemberCheck
このテストでは、現在のホストが cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX のメンバーであることを確認します。
IPATrustControllerPrincipalCheck
このテストでは、現在のホストが cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX のメンバーであることを確認します。
IPATrustControllerServiceCheck
このテストでは、現在のホストが ipactl で ADTRUST サービスを開始することを確認します。
IPATrustControllerConfCheck
このテストでは、ldapi が、net conf リストの出力で passdb バックエンドに対して有効になっていることを確認します。
IPATrustControllerGroupSIDCheck
このテストでは、管理者 グループの SID が、ドメイン管理者の RID である 512 で終わることを確認します。
IPATrustPackageCheck
このテストでは、信頼コントローラーと AD 信頼が有効になっていない場合に、trust-ad パッケージがインストールされていることを確認します。

8.2. Healthcheck ツールを使用した信頼のスクリーニング

Healthcheck ツールを使用して Identity Management (IdM) および Active Directory (AD) の信頼ヘルスチェックのスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.ipa.trust --failures-only
    • --source=ipahealthcheck.ipa.trust オプションにより、IdM Healthcheck は信頼テストのみを実行します。

テストに成功すると、空の括弧が表示されます。

Copy to Clipboard Toggle word wrap 
# ipa-healthcheck --source=ipahealthcheck.ipa.trust
[]
注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。

関連情報

第9章 IdM Healthcheck を使用したシステム証明書の検証

Healthcheck ツールを使用して、Identity Management (IdM) のシステム証明書の問題を特定する方法について詳しく学習します。

前提条件

  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

9.1. システム証明書の Healthcheck テスト

Healthcheck ツールには、システム証明書または Dogtag 証明書を検証するためのいくつかのテストが含まれています。

ipa-healthcheck --list-sources コマンドの出力の ipahealthcheck.dogtag.ca ソースの下にあるすべての証明書関連テストを見つけることができます。

DogtagCertsConfigCheck

このテストでは、NSS データベース内の CA (認証局) 証明書を、CS.cfg に保存されている同じ値と比較します。一致しない場合、CA は起動に失敗します。

具体的には、以下を確認します。

  • ca.audit_signing.cert の場合は auditSigningCert cert-pki-ca
  • ca.ocsp_signing.cert の場合は ocspSigningCert cert-pki-ca
  • ca.signing.cert の場合は caSigningCert cert-pki-ca
  • ca.subsystem.cert の場合は subsystemCert cert-pki-ca
  • ca.sslserver.cert の場合は Server-Cert cert-pki-ca

Key Recovery Authority (KRA) がインストールされている場合は、次の点もチェックします。

  • ca.connector.KRA.transportCert の場合は transportCert cert-pki-kra
DogtagCertsConnectivityCheck

このテストでは、接続性を検証します。このテストは、次の点をチェックする ipa cert-show 1 コマンドと同等です。

  • Apache の PKI プロキシー設定
  • IdM が CA を検出できること
  • RA エージェントクライアント証明書
  • リクエストに対する CA の応答の正確性

このテストでは 、ipa cert-show コマンドが実行できること、および IdM CA から予期される応答 (証明書自体または 見つからない 応答) が返されることを確認します。

9.2. Healthcheck を使用したシステム証明書のスクリーニング

Healthcheck ツールを使用して Identity Management (IdM) 証明書のスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.dogtag.ca
    • --source=ipahealthcheck.dogtag.ca オプションにより、Healthcheck は証明書テストのみを実行します。

テストに成功すると、以下のようになります。

Copy to Clipboard Toggle word wrap 
{
  "source: ipahealthcheck.dogtag.ca",
  "check: DogtagCertsConfigCheck",
  "result: SUCCESS",
  "uuid: 9b366200-9ec8-4bd9-bb5e-9a280c803a9c",
  "when: 20191008135826Z",
  "duration: 0.252280",
  "kw:" {
    "key": "Server-Cert cert-pki-ca",
    "configfile":  "/var/lib/pki/pki-tomcat/conf/ca/CS.cfg"
    }
}

テストに失敗すると、以下のようになります。

Copy to Clipboard Toggle word wrap 
{
  "source: ipahealthcheck.dogtag.ca",
  "check: DogtagCertsConfigCheck",
  "result: CRITICAL",
  "uuid: 59d66200-1447-4b3b-be01-89810c803a98",
  "when: 20191008135912Z",
  "duration: 0.002022",
  "kw:" {
    "exception": "NSDB /etc/pki/pki-tomcat/alias not initialized",
    }
}
注記

問題を見つけようとするときは、すべての IdM サーバーで証明書テストを実行します。

関連情報

第10章 IdM Healthcheck を使用した証明書の検証

certmonger ユーティリティーによって管理される IdM 証明書の問題を特定するために、アイデンティティー管理 (IdM) の Healthcheck ツールを理解して使用する方法について詳細に学習します。

前提条件

  • Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。

10.1. IdM 証明書の Healthcheck テスト

Healthcheck ツールには、Identity Management (IdM) で certmonger によって管理される証明書のステータスを確認するためのいくつかのテストが含まれています。certmonger の詳細は、certmonger を使用してサービスの IdM 証明書の取得 を参照してください。

この一連のテストは、証明書の有効期限、検証、信頼、およびその他の設定をチェックします。Healthcheck では、同じ根本的な問題に対して複数のエラーが報告される場合があります。

これらの証明書テストは 、ipa-healthcheck --list-sources コマンドの出力の ipahealthcheck.ipa.certs ソースの下にあります。

IPACertmongerExpirationCheck

このテストでは、certmonger の有効期限を確認します。

証明書の有効期限が切れている場合は、エラーが報告されます。

警告が表示された場合、証明書の有効期限が間もなく切れます。デフォルトでは、証明書の有効期限の 28 日以内にテストを実行すると警告が表示されます。

/etc/ipahealthcheck/ipahealthcheck.conf ファイルで日数を設定できます。ファイルを開いたら、デフォルト セクションにある cert_expiration_days オプションを変更します。

注記

Certmonger は、証明書の有効期限に関する独自のビューを読み込み、維持します。このチェックでは、ディスク上の証明書は検証されません。

IPACertfileExpirationCheck

このテストでは、証明書ファイルまたは NSS データベースに正しいアクセス権が設定されているかどうかを確認します。このテストでは、有効期限も確認します。そのため、エラーまたは警告出力の msg 属性をよく読んでください。このメッセージは問題を特定するものです。

注記

このテストでは、ディスク上の証明書が確認されます。証明書が見つからないか読み取り不能な場合、Healthcheck はエラーを返します。

IPACertNSSTrust
このテストは、NSS データベースに保存されている証明書の信頼性を分析します。NSS データベース内の予想される追跡証明書については、ヘルスチェックは信頼を予想値と比較し、一致しない場合はエラーを発生させます。
IPANSSChainValidation
このテストでは、NSS 証明書の証明書チェーンを検証します。テストでは 、certutil -V -u V -e -d [dbdir] -n [nickname] コマンドを実行します。
IPAOpenSSLChainValidation

このテストでは、OpenSSL 証明書の証明書チェーンを検証します。具体的には、Healthcheck は次の OpenSSL コマンドを実行します。

Copy to Clipboard Toggle word wrap 
openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
IPARAAgent
このテストでは、ディスク上の証明書を、uid=ipara,ou=People,o=ipaca の LDAP の同等のレコードと比較します。
IPACertRevocation
このテストは、certmonger によって管理されている証明書が取り消されていないことを確認します。
IPACertmongerCA

このテストは、certmonger 認証局 (CA) の設定を確認します。IdM は CA なしでは証明書を発行できません。

Certmonger は CA ヘルパーのセットを管理します。IPA という名前の CA は、IdM を通じてホストまたはサービスの証明書を発行し、ホストまたはユーザープリンシパルとして認証します。

CA サブシステム証明書を更新する dogtag-ipa-ca-renew-agentdogtag-ipa-ca-renew-agent-reuse もあります。

10.2. Healthcheck ツールを使用した証明書のスクリーニング

Healthcheck ツールを使用して、Identity Management (IdM) 証明書ヘルスチェックのスタンドアロン手動テストを実行するには、次の手順に従います。

前提条件

  • root 権限がある。

手順

  • 以下を入力します。

    Copy to Clipboard Toggle word wrap 
    # ipa-healthcheck --source=ipahealthcheck.ipa.certs --failures-only

    • --source=ipahealthcheck.ipa.certs オプションにより、IdM Healthcheck は certmonger 証明書テストのみを実行します。

      テストに成功すると、空の括弧が表示されます。

      Copy to Clipboard Toggle word wrap 
      []

      失敗したテストでは、以下の出力が表示されます。

      Copy to Clipboard Toggle word wrap 
      {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "dbdir": "/path/to/nssdb",
    "error": [error],
    "msg": "Unable to open NSS database '/path/to/nssdb': [error]"
  }
}

    上記の IPACertfileExpirationCheck テストは、NSS データベースを開くときに失敗しています。

注記

問題をチェックするときは、すべての IdM サーバーでこのヘルスチェックテストスイートを実行します。

関連情報

法律上の通知

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.