第107章 Healthcheck を使用した IdM 設定ファイルのパーミッションの確認
Healthcheck ツールを使用して Identity Management (IdM) 設定ファイルをテストする方法について詳しく説明します。
詳細は IdM のヘルスチェック を参照してください。
前提条件
- Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。
107.1. ファイルパーミッションの Healthcheck テスト
Healthcheck ツールは、Identity Management (IdM) によりインストールまたは設定される重要なファイルの所有権とパーミッションをテストします。
テスト対象のファイルの所有権またはパーミッションが変更されていると、テスト時に result
セクションに警告が返されます。これは必ずしも設定が機能しないことを意味しませんが、ファイルがデフォルト設定と異なることを意味します。
すべてのテストを表示するには、--list-sources
オプションを指定して ipa-healthcheck
を実行します。
# ipa-healthcheck --list-sources
ファイルパーミッションテストは、ipahealthcheck.ipa.files
ソースの下にあります。
- IPAFileNSSDBCheck
-
このテストでは、389-ds NSS データベースと認証局 (CA) データベースを確認します。389-ds データベースは、
/etc/dirsrv/slapd-<dashed-REALM>
にあり、CA データベースは/etc/pki/pki-tomcat/alias/
にあります。 - IPAFileCheck
このテストでは、以下のファイルを確認します。
-
/var/lib/ipa/ra-agent.{key|pem}
-
/var/lib/ipa/certs/httpd.pem
-
/var/lib/ipa/private/httpd.key
-
/etc/httpd/alias/ipasession.key
-
/etc/dirsrv/ds.keytab
-
/etc/ipa/ca.crt
/etc/ipa/custodia/server.keys
PKINIT が有効になっている場合は、以下のファイルを確認します。
-
/var/lib/ipa/certs/kdc.pem
/var/lib/ipa/private/kdc.key
DNS が設定されている場合は、以下のファイルを確認します。
-
/etc/named.keytab
-
/etc/ipa/dnssec/ipa-dnskeysyncd.keytab
-
- TomcatFileCheck
このテストでは、CA が設定されている場合に、いくつかの tomcat 固有のファイルを確認します。
-
/etc/pki/pki-tomcat/password.conf
-
/var/lib/pki/pki-tomcat/conf/ca/CS.cfg
-
/etc/pki/pki-tomcat/server.xml
-
問題を確認するには、すべての IdM サーバーで上記のテストを実行します。