Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

IdM Healthcheck を使用した IdM 環境の監視

Red Hat Enterprise Linux 9

ステータスチェックとヘルスチェックの実行

Red Hat Customer Content Services

概要

ipa-healthcheck ユーティリティーは、管理者が Red Hat Identity Management (IdM) 環境の問題を検出するのに役立ちます。これには、IdM サービスのステータスチェック、設定ファイルのアクセスパーミッション、レプリケーションステータス、証明書の問題が含まれます。

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。

Jira からのフィードバック送信 (アカウントが必要)

  1. Jira の Web サイトにログインします。
  2. 上部のナビゲーションバーで Create をクリックします。
  3. Summary フィールドにわかりやすいタイトルを入力します。
  4. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
  5. ダイアログの下部にある Create をクリックします。

第1章 IdM Healthcheck ツールのインストールおよび実行
リンクのコピー

IdM Healthcheck ツールと、ツールのインストールおよび実行方法を詳しく説明します。

1.1. IdM の Healthcheck
リンクのコピー

Identity Management (IdM) の Healthcheck コマンドラインツールは、IdM 環境のパフォーマンスに影響を与える可能性のある問題を検出するのに役立ちます。Healthcheck を使用すると、問題を事前に特定して、重大化する前に修正できます。

注記

Healthcheck は Kerberos チケットを取得しなくても使用できます。

独立したモジュール

Healthcheck は、以下の項目をチェックする独立したモジュールで構成されています。

  • レプリケーションの問題
  • 証明書の有効性
  • 認証局のインフラストラクチャーの問題
  • IdM および Active Directory の信頼の問題
  • ファイルのパーミッションと所有権の正しい設定

出力形式と出力先

output-type オプションを使用して、Healthcheck によって生成される次の出力の種類を設定できます。

  • JSON: マシンが判読できる出力 (デフォルト)
  • human: 人間が判読できる出力

--output-file オプションを使用して、出力を保存するファイルを指定できます。

結果

Healthcheck の各モジュールは、次のいずれかの結果を返します。

SUCCESS
システムが期待どおりに設定されています。
WARNING
設定を監視または評価することを推奨します。
ERROR
システムが期待どおりに設定されていません。
CRITICAL
設定が予想どおりではなく、IdM デプロイメントの機能に大きな影響を与える可能性があります。

1.2. IdM Healthcheck のインストール
リンクのコピー

IdM Healthcheck ツールをインストールする方法を説明します。

前提条件

  • root でログインしている。

手順

  • ipa-healthcheck パッケージをインストールします。 

    [root@server ~]# dnf install ipa-healthcheck
    Copy to Clipboard Toggle word wrap

検証

  • 基本的な Healthcheck テストを実行します。 

    [root@server ~]# ipa-healthcheck
[]
    Copy to Clipboard Toggle word wrap

    角括弧 [] が空であれば、IdM インストールは完全に機能しています。

1.3. IdM Healthcheck の実行
リンクのコピー

Healthcheck テストは、次のいずれかの方法で実行できます。

このセクションでは、テストを手動で実行する方法を説明します。

前提条件

手順

  1. オプション: 利用可能なすべての Healthcheck テストのリストを表示するには、次のように入力します。 

    [root@server ~]# ipa-healthcheck --list-sources
    Copy to Clipboard Toggle word wrap

  2. Healthcheck ユーティリティーを実行するには、次のように入力します。 

    [root@server ~]# ipa-healthcheck
    Copy to Clipboard Toggle word wrap

1.4. ログローテーション
リンクのコピー

ログローテーションにより毎日新しいログファイルが作成されます。ファイルは日付順に整理されます。ファイル名には日付が含まれています。

ログローテーションを使用すると、保存するログファイルの最大数を設定できます。この数を超えると、最も古いファイルが最新のファイルに置き換えられます。たとえば、ローテーションの最大数が 30 の場合、最も古い最初のログファイルが、31 番目のログファイルに置き換えられます。

ログローテーションにより、膨大なログファイルが削減され、整理されます。これはログの分析に役立ちます。

1.5. IdM Healthcheck の定期実行
リンクのコピー

IdM Healthcheck を定期的に実行するように設定するには、次の手順に従います。これには、次のユーティリティーの設定が含まれます。

  • Healthcheck ツールを定期的に実行し、ログを生成するための systemd タイマー
  • ログローテーションを確実に行うための crond サービス

デフォルトのログ名は healthcheck.log で、ローテーションされるログは healthcheck.log-YYYYMMDD 形式を使用します。

注記

Healthcheck のタイマーツールはリアルタイムツールではありません。1 時間に数回実行されることを意図したものです。たとえば、サービスやディスク容量をリアルタイムで監視する必要がある場合は、別のツールを使用してください。

前提条件

  • root 権限がある。

手順

  1. systemd タイマーを有効にします。 

    # systemctl enable ipa-healthcheck.timer
Created symlink /etc/systemd/system/multi-user.target.wants/ipa-healthcheck.timer -> /usr/lib/systemd/system/ipa-healthcheck.timer.
    Copy to Clipboard Toggle word wrap

  2. systemd タイマーを起動します。 

    # systemctl start ipa-healthcheck.timer
    Copy to Clipboard Toggle word wrap

  3. /etc/logrotate.d/ipahealthcheck ファイルを開いて、保存するログの数を設定します。 

    [...]
    rotate 30
}
    Copy to Clipboard Toggle word wrap

    ログはデフォルトで 30 日間保存されます。その後、新しいログによって上書きされます。

  4. 同じファイルで、ログを保存するファイルへのパスを設定します。 

    /var/log/ipa/healthcheck/healthcheck.log {
[...]
    Copy to Clipboard Toggle word wrap

    デフォルトでは、ログは /var/log/ipa/healthcheck/ ディレクトリーに保存されます。

  5. ファイルを保存します。

  6. crond サービスが有効になっていて実行されていることを確認します。 

    # systemctl enable crond
# systemctl start crond
    Copy to Clipboard Toggle word wrap

  7. ログの生成を開始するために、IdM healthcheck サービスを起動します。 

    # systemctl start ipa-healthcheck
    Copy to Clipboard Toggle word wrap

検証

  1. /var/log/ipa/healthcheck/ ディレクトリーに移動します。
  2. ログファイルの内容を表示して、ファイルが正しく作成されたかどうかを確認します。

1.6. IdM Healthcheck 設定の変更
リンクのコピー

必要なコマンドラインオプションを /etc/ipahealthcheck/ipahealthcheck.conf ファイルに追加することで、Identity Management (IdM) Healthcheck 設定を変更できます。これは、たとえば、以前にログローテーションを設定していて、ログを自動分析に適した形式にする必要があるが、新しいタイマーを設定するのが不要な場合に便利です。

注記

この Healthcheck 機能は、RHEL 9.1 以降でのみ利用できます。

変更後、Healthcheck が作成するすべてのログに、新しい設定が反映されます。この設定は、Healthcheck の手動実行にも適用されます。

注記

Healthcheck を手動で実行する場合、設定ファイルの設定がコマンドラインで指定したオプションよりも優先されます。たとえば、設定ファイルで output_typehuman に設定されている場合、コマンドラインで json を指定しても効果はありません。設定ファイルで指定されていないコマンドラインオプションを使用すると、通常どおり適用されます。

1.7. 出力ログの形式を変更するための Healthcheck の設定
リンクのコピー

設定済みのタイマーを使用して Healthcheck を設定するには、次の手順に従います。この例では、人間が判読できる形式でログを生成し、エラーだけでなく正常な結果も含めるように Healthcheck を再設定します。

前提条件

  • システムで RHEL 9.1 以降を実行している。
  • root 権限がある。
  • 以前にタイマーを使用してログローテーションを設定している。

手順

  1. テキストエディターで /etc/ipahealthcheck/ipahealthcheck.conf ファイルを開きます。
  2. [default] セクションに、オプション output_type=humanall=True を追加します。
  3. ファイルを保存してから閉じます。

検証

  1. Healthcheck を手動で実行します。 

    # ipa-healthcheck
    Copy to Clipboard Toggle word wrap
  2. /var/log/ipa/healthcheck/ に移動し、ログの形式が正しいことを確認します。

第2章 IdM Healthcheck を使用したサービスの確認
リンクのコピー

Healthcheck ツールを使用して、Identity Management (IdM) サーバーによって使用されるサービスを監視できます。

2.1. IdM サービスの Healthcheck テスト
リンクのコピー

Healthcheck ツールには、Identity Management (IdM) サービスが正しく実行されているかどうかを確認するテストが含まれています。IdM サービスが正しく実行されていないと他の Healthcheck テストが失敗する可能性があるため、この Healthcheck テストから開始してください。

サービステストは、設定されている機能に基づいてコンテキスト固有になります。たとえば、named は、統合 IdM DNS サービスが IdM サーバー上に設定されている場合にのみチェックされます。smbwinbind などのその他のものは、IdM-AD 信頼が有効になっている場合にのみチェックされます。

テストで評価される IdM サービスのリストは次のようになります。

  • certmonger
  • dirsrv
  • gssproxy
  • httpd
  • ipa_custodia
  • ipa_otpd
  • kadmin
  • krb5kdc
  • named
  • ods_enforcerd
  • ipa_dnskeysyncd
  • pki_tomcatd
  • sssd
  • chronyd
  • smb
  • winbind

このリストは、ipa-healthcheck --list-sources コマンドを実行し、出力で ipahealthcheck.meta.services セクションを特定することで表示できます。

2.2. Healthcheck を使用した IdM サービスのスクリーニング
リンクのコピー

Healthcheck ツールを使用して、Identity Management (IdM) サーバー上で実行されているサービスのスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source=ipahealthcheck.meta.services
    Copy to Clipboard Toggle word wrap
    • --source=ipahealthcheck.meta.services オプションにより、IdM Healthcheck はサービステストのみを実行します。
    • --failures-only オプションはデフォルトで有効化され、IdM Healthcheck が警告、エラー、および重大な問題のみが報告されます。

    テストに成功すると、空の括弧が表示されます。 

    [ ]
    Copy to Clipboard Toggle word wrap

    サービスのいずれかが失敗した場合は、以下のような結果になります。 

    {
  "source": "ipahealthcheck.meta.services",
  "check": "httpd",
  "result": "ERROR",
  "kw": {
    "status": false,
    "msg": "httpd: not running"
  }
}
    Copy to Clipboard Toggle word wrap
    注記

    問題を検出する際には、このテストをすべての IdM サーバーに対して実行してください。

第3章 IdM Healthcheck を使用したディスク容量の確認
リンクのコピー

Healthcheck ツールを使用して、Identity Management サーバーの空きディスク容量を監視できます。

3.1. ディスク容量の Healthcheck テスト
リンクのコピー

Healthcheck ツールには、使用可能なディスク容量をチェックするための FileSystemSpaceCheck テストが含まれています。このテストでは次の項目をチェックします。

  • 最低限必要な生の空きバイト。
  • パーセント - 空きディスクの最小容量は 20% にハードコーディングされています。

テストでは、以下のパスを確認します。

Expand
表3.1 テストされるパス
テストで確認されるパス最小ディスク容量 (MB)

/var/lib/dirsrv/

1024

/var/lib/ipa/backup/

512

/var/log/

1024

var/log/audit/

512

/var/tmp/

512

/tmp/

512

ディスクの空き容量が不足すると、次の面で問題が発生する可能性があります。

  • ロギング
  • 実行
  • バックアップ

FileSystemSpaceCheck テストを確認するには、ipa-healthcheck --list-sources コマンドを実行し、出力の ipahealthcheck.system.filesystemspace セクションを確認します。

3.2. Healthcheck ツールを使用したディスク容量のスクリーニング
リンクのコピー

Healthcheck ツールを使用して、Identity Management (IdM) サーバー上の利用可能なディスク容量のスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source=ipahealthcheck.system.filesystemspace
    Copy to Clipboard Toggle word wrap
    • --source=ipahealthcheck.meta.services オプションを指定すると、IdM Healthcheck によってディスク容量のテストだけが実行されます。

テストに成功すると、空の括弧が表示されます。 

[]
Copy to Clipboard Toggle word wrap

テストに失敗すると、たとえば、以下のような結果が表示されます。 

{
  "source": "ipahealthcheck.system.filesystemspace",
  "check": "FileSystemSpaceCheck",
  "result": "ERROR",
  "kw": {
    "msg": "/var/lib/dirsrv: free space under threshold: 0 MiB < 1024 MiB",
    "store": "/var/lib/dirsrv",
    "free_space": 0,
    "threshold": 1024
  }
}
Copy to Clipboard Toggle word wrap

この失敗したテストは、/var/lib/dirsrv ディレクトリーに使用可能な容量がないことを示しています。

注記

問題を検出する際には、このテストをすべての IdM サーバーに対して実行してください。

第4章 Healthcheck を使用した IdM 設定ファイルのパーミッションの確認
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) 設定ファイルをテストする方法を詳しく説明します。

4.1. ファイルパーミッションの Healthcheck テスト
リンクのコピー

Healthcheck ツールは、Identity Management (IdM) によってインストールまたは設定されたファイルの所有権とパーミッションをテストします。

これらのファイルの所有権またはパーミッションを変更すると、テスト時に result セクションに警告が返されます。これは必ずしも設定が機能しないことを意味するわけではありませんが、ファイルがデフォルトの設定と異なることを示しています。

ファイルパーミッションテストは、ipa-healthcheck --list-sources コマンド出力の ipahealthcheck.ipa.files ソースの下で確認できます。

IPAFileNSSDBCheck
このテストでは、389-ds NSS データベースをチェックします。該当する場合は認証局 (CA) データベースもチェックします。389-ds データベースは、/etc/dirsrv/slapd-<dashed-REALM> にあり、CA データベースは /etc/pki/pki-tomcat/alias/ にあります。
IPAFileCheck

このテストでは次のファイルをチェックします。

  • /var/lib/ipa/ra-agent.{key|pem}
  • /var/lib/ipa/certs/httpd.pem
  • /var/lib/ipa/private/httpd.key
  • /etc/httpd/alias/ipasession.key
  • /etc/dirsrv/ds.keytab
  • /etc/ipa/ca.crt
  • /etc/ipa/custodia/server.keys
  • /etc/resolv.conf

  • /etc/hosts

    PKINIT が有効な場合は、次のファイルもテストします。

  • /var/lib/ipa/certs/kdc.pem

  • /var/lib/ipa/private/kdc.key

    DNS が設定されている場合は、次のファイルもテストします。

  • /etc/named.keytab
  • /etc/ipa/dnssec/ipa-dnskeysyncd.keytab
TomcatFileCheck

このテストでは、tomcat 固有の特定のファイルをチェックします。

  • /etc/pki/pki-tomcat/password.conf
  • /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
  • /etc/pki/pki-tomcat/server.xml

4.2. Healthcheck を使用した設定ファイルのスクリーニング
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) サーバーの設定ファイルのスタンドアロン手動テストを実行するには、次の手順に従います。

Healthcheck ツールには多くのテストが含まれています。結果を絞り込むには、以下を行います。

  • 所有者テストとパーミッションテストのみを含める - --source=ipahealthcheck.ipa.files

手順

  1. IdM 設定ファイルの所有権とパーミッションについて Healthcheck テストを実行し、警告、エラー、重大な問題のみを表示するには、次のように入力します。 

    # ipa-healthcheck --source=ipahealthcheck.ipa.files
    Copy to Clipboard Toggle word wrap

テストに成功すると、空の括弧が表示されます。 

# ipa-healthcheck --source=ipahealthcheck.ipa.files
[]
Copy to Clipboard Toggle word wrap

テストに失敗すると、以下の WARNING のような結果が表示されます。 

{
  "source": "ipahealthcheck.ipa.files",
  "check": "IPAFileNSSDBCheck",
  "result": "WARNING",
  "kw": {
    "key": "_etc_dirsrv_slapd-EXAMPLE-TEST_pkcs11.txt_mode",
    "path": "/etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt",
    "type": "mode",
    "expected": "0640",
    "got": "0666",
    "msg": "Permissions of /etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt are 0666 and should be 0640"
  }
}
Copy to Clipboard Toggle word wrap
注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行します。

第5章 IdM Healthcheck を使用した DNS レコードの確認
リンクのコピー

Healthcheck ツールを使用して、Identity Management (IdM) の DNS レコードの問題を特定できます。

5.1. DNS レコードの Healthcheck テスト
リンクのコピー

Healthcheck ツールには、自動検出に必要な DNS レコードが解決可能であることを確認するための IPADNSSystemRecordsCheck テストが含まれています。具体的には、このテストでは、ログインしている IdM サーバーの /etc/resolv.conf ファイルに指定されている最初のリゾルバーを使用して、ipa dns-update-system-records --dry-run コマンドによって取得された DNS レコードをチェックします。

IPADNSSystemRecordsCheck テストは、ipa-healthcheck --list-sources コマンド出力の ipahealthcheck.ipa.idns ソースの下で確認できます。

5.2. Healthcheck ツールを使用した IdM DNS レコードのスクリーニング
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) サーバー上で DNS レコードのスタンドアロン手動テストを実行するには、次の手順に従います。

Healthcheck ツールには多くのテストが含まれています。--source ipahealthcheck.ipa.idns オプションを追加して、DNS レコードテストだけを含めることで結果を絞り込むことができます。

前提条件

  • root 権限がある。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source ipahealthcheck.ipa.idns
    Copy to Clipboard Toggle word wrap

    • --source ipahealthcheck.ipa.idns オプションにより、IdM Healthcheck は DNS レコードテストのみを実行します。

      レコードが解決可能である場合には、テストの結果として SUCCESS が返されます。 

      {
    "source": "ipahealthcheck.ipa.idns",
    "check": "IPADNSSystemRecordsCheck",
    "result": "SUCCESS",
    "uuid": "eb7a3b68-f6b2-4631-af01-798cac0eb018",
    "when": "20200415143339Z",
    "duration": "0.210471",
    "kw": {
      "key": "_ldap._tcp.idm.example.com.:server1.idm.example.com."
    }
}
      Copy to Clipboard Toggle word wrap

      たとえば、レコードの数が想定数と一致しないなどの場合には、WARNING が返されます。 

    {
    "source": "ipahealthcheck.ipa.idns",
    "check": "IPADNSSystemRecordsCheck",
    "result": "WARNING",
    "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
    "when": "20200409100614Z",
    "duration": "0.203049",
    "kw": {
      "msg": "Got {count} ipa-ca A records, expected {expected}",
      "count": 2,
      "expected": 1
    }
}
    Copy to Clipboard Toggle word wrap

第6章 IdM Healthcheck を使用した KDC ワーカープロセスの最適な数の検証
リンクのコピー

Identity Management (IdM) の Healthcheck ツールを使用して、最適な数の krb5kdc ワーカープロセスを使用するように Kerberos Key Distribution Center (KDC) が設定されていることを確認できます。これは、ホストの CPU コアの数と同じにする必要があります。

前提条件

  • RHEL 8.10 以降を使用している。
  • root 権限がある。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source ipahealthcheck.ipa.kdc
    Copy to Clipboard Toggle word wrap

    • ソースの ipahealthcheck.ipa.kdc オプションは、IdM Healthcheck が KDCWorkersCheck テストのみを実行することを保証します。

      KDC ワーカープロセスの数が CPU コアの数と一致する場合、結果として SUCCESS が返されます。 

      {
	"source": "ipahealthcheck.ipa.kdc",
	"check": "KDCWorkersCheck",
	"result": "SUCCESS",
	"uuid": "68f6e20a-0aa9-427d-8fdc-fbb8196d56cd",
	"when": "20230105162211Z",
	"duration": "0.000157",
	"kw": {
  	"key": "workers"
	}
}
      Copy to Clipboard Toggle word wrap

      ワーカープロセスの数が CPU コアの数と一致しない場合、WARNING が返されます。次の例では、2 つのコアを持つホストが 1 つの KDC ワーカープロセスのみを持つように設定されています。 

      {
    "source": "ipahealthcheck.ipa.kdc",
    "check": "KDCWorkersCheck",
    "result": "WARNING",
    "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
    "when": "20230105122236Z",
    "duration": "0.203049",
    "kw": {
      "key": ‘workers’,
      "cpus": 2,
      "workers": 1,
      "expected": "The number of CPUs {cpus} does not match the number of workers {workers} in {sysconfig}"
    }
}
      Copy to Clipboard Toggle word wrap

      設定されたワーカーがない場合も、WARNING が出力されます。次の例では、KRB5KDC_ARGS 変数が /etc/sysconfig/krb5kdc 設定ファイルにありません。 

      {
    "source": "ipahealthcheck.ipa.kdc",
    "check": "KDCWorkersCheck",
    "result": "WARNING",
    "uuid": "5d63ea86-67b9-4638-a41e-b71f4
56efed7",
    "when": "20230105162526Z",
    "duration": "0.000135",
    "kw": {
      "key": "workers",
      "sysconfig": "/etc/sysconfig/krb5kdc",
      "msg": "KRB5KDC_ARGS is not set in {sysconfig}"
    }
  }
    Copy to Clipboard Toggle word wrap

第7章 Healthcheck を使用した IdM レプリケーションの確認
リンクのコピー

Healthcheck ツールを使用して、Identity Management (IdM) レプリケーションをテストできます。

前提条件

  • RHEL バージョン 8.1 以降を使用している。

7.1. IdM のレプリケーションとトポロジーの Healthcheck テスト
リンクのコピー

Healthcheck ツールには、Identity Management (IdM) トポロジー設定のテストが含まれています。テストでは、レプリケーション競合の問題を検索します。

IPATopologyDomainCheck テストと ReplicationConflictCheck テストは、ipa-healthcheck --list-sources コマンドによる出力の ipahealthcheck.ipa.topologyipahealthcheck.ds.replication ソースの下にあります。

IPATopologyDomainCheck

次の設定をテストします。

  • どの IdM サーバーもトポロジーから切断されない。
  • 推奨される数を超えるレプリカ合意が IdM サーバーにない。

テストに成功すると、設定済みのドメインが返されます。成功しなかった場合は、特定の接続エラーが報告されます。

注記

このテストでは、domain 接尾辞に対して ipa topologysuffix-verify コマンドを実行します。このサーバーで IdM Certificate Authority サーバーロールが設定されている場合は、ca 接尾辞のコマンドも実行されます。

ReplicationConflictCheck
LDAP 内で (&(!(objectclass=nstombstone))(nsds5ReplConflict=*)) に一致するエントリーを検索します。

7.2. Healthcheck を使用したレプリケーションのスクリーニング
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) のレプリケーションおよびトポロジー設定のスタンドアロン手動テストを実行するには、次の手順に従います。

前提条件

  • root 権限がある。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source=ipahealthcheck.ds.replication --source=ipahealthcheck.ipa.topology
    Copy to Clipboard Toggle word wrap
    • --source=ipahealthcheck.ds.replication および --source=ipahealthcheck.ipa.topology オプションを指定すると、IdM Healthcheck によってレプリケーション競合とトポロジーテストだけが実行されます。

    以下のような 4 つの結果が取得できます。

    • SUCCESS  - テストに成功 

      {
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "SUCCESS",
  "kw": {
    "suffix": "domain"
  }
}
      Copy to Clipboard Toggle word wrap
    • WARNING - テストには成功したが、問題の可能性あり

    • ERROR - テストが失敗 

      {
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "ERROR",
  "uuid": d6ce3332-92da-423d-9818-e79f49ed321f
  "when": 20191007115449Z
  "duration": 0.005943
  "kw": {
    "msg": "topologysuffix-verify domain failed, server2 is not connected (server2_139664377356472 in MainThread)"
  }
}
      Copy to Clipboard Toggle word wrap
    • CRITICAL - テストが失敗し、IdM サーバー機能に影響が及ぶ
注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行します。

7.3. 関連情報
リンクのコピー

第8章 IdM Healthcheck を使用した IdM および AD 信頼設定の検証
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) と Active Directory (AD) 間の信頼に関する問題を特定する方法を説明します。

8.1. IdM および AD 信頼の Healthcheck のテスト
リンクのコピー

Healthcheck ツールには、Identity Management (IdM) と Active Directory (AD) 間の信頼のステータスをテストするためのテストがいくつか含まれています。

すべての信頼テストを表示するには、--list-sources オプションを指定して ipa-healthcheck を実行します。 

# ipa-healthcheck --list-sources
Copy to Clipboard Toggle word wrap

信頼に関連するすべてのテストは、ipahealthcheck.ipa.trust ソースの下にあります。

IPATrustAgentCheck
このテストは、現在のホストが信頼エージェントとして設定されているかどうかを SSSD 設定で確認します。/etc/sssd/sssd.conf 内の各ドメインで、id_provider=ipa は、ipa_server_modeTrue であることを確認します。
IPATrustDomainsCheck
このテストでは、sssctl domain-list のドメインリストと、IdM ドメインを除いた ipa trust-find のドメインリストを比較して、信頼ドメインが SSSD ドメインと一致するかどうかを確認します。
IPATrustCatalogCheck

このテストでは、AD ユーザー Administrator@REALM を解決します。これにより、sssctl domain-status の出力に、AD Global カタログと AD Domain Controller の値が追加されます。

各信頼ドメインを対象に、SID + 500 の ID (管理者 ID) を持つユーザーを検索し、sssctl domain-status <domain> --active-server の出力をチェックして、ドメインがアクティブであることを確認します。

IPAsidgenpluginCheck
このテストでは、IdM 389-ds インスタンスで sidgen プラグインが有効になっていることを確認します。このテストでは、cn=plugins,cn=configIPA SIDGEN プラグインおよび ipa-sidgen-task プラグインに、nsslapd-pluginEnabled オプションが含まれていることも検証します。
IPATrustAgentMemberCheck
このテストでは、現在のホストが cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX のメンバーであることを確認します。
IPATrustControllerPrincipalCheck
このテストでは、現在のホストが cn=adtrust agents,cn=sysaccounts,cn=etc,SUFFIX のメンバーであることを確認します。
IPATrustControllerServiceCheck
このテストでは、現在のホストが ipactl で ADTRUST サービスを開始することを確認します。
IPATrustControllerConfCheck
このテストでは、ldapi が、net conf リストの出力で passdb バックエンドに対して有効になっていることを確認します。
IPATrustControllerGroupSIDCheck
このテストでは、admins グループの SID が、ドメイン管理者の RID である 512 で終わることを確認します。
IPATrustPackageCheck
このテストでは、信頼コントローラーと AD 信頼が有効になっていない場合に、trust-ad パッケージがインストールされていることを確認します。

8.2. Healthcheck ツールを使用した信頼のスクリーニング
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) および Active Directory (AD) の信頼ヘルスチェックのスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source=ipahealthcheck.ipa.trust --failures-only
    Copy to Clipboard Toggle word wrap
    • --source=ipahealthcheck.ipa.trust オプションを指定すると、IdM Healthcheck によって信頼テストだけが実行されます。

テストに成功すると、空の括弧が表示されます。 

# ipa-healthcheck --source=ipahealthcheck.ipa.trust
[]
Copy to Clipboard Toggle word wrap
注記

問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。

第9章 IdM Healthcheck を使用したシステム証明書の検証
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) のシステム証明書の問題を特定する方法を説明します。

9.1. システム証明書の Healthcheck テスト
リンクのコピー

Healthcheck ツールには、システム証明書または Dogtag 証明書を検証するためのテストがいくつか含まれています。

すべての証明書関連のテストは、ipa-healthcheck --list-sources コマンド出力の ipahealthcheck.dogtag.ca ソースの下で確認できます。

DogtagCertsConfigCheck

このテストでは、NSS データベース内の CA (認証局) 証明書を、CS.cfg に保存されている同じ値と比較します。一致しない場合、CA は起動に失敗します。

具体的には、以下を確認します。

  • auditSigningCert cert-pki-caca.audit_signing.cert
  • ocspSigningCert cert-pki-caca.ocsp_signing.cert
  • caSigningCert cert-pki-caca.signing.cert
  • subsystemCert cert-pki-caca.subsystem.cert
  • Server-Cert cert-pki-caca.sslserver.cert

Key Recovery Authority (KRA) がインストールされている場合は、以下も比較して確認します。

  • transportCert cert-pki-kraca.connector.KRA.transportCert
DogtagCertsConnectivityCheck

このテストでは、接続性を検証します。このテストは、次の項目をチェックする ipa cert-show 1 コマンドと同等です。

  • Apache の PKI プロキシー設定
  • IdM が CA を検出できること
  • RA エージェントクライアント証明書
  • 要求に対する CA の応答の正確性

このテストでは、ipa cert-show コマンドが実行できること、および IdM CA から予期される応答 (証明書自体または not found 応答) が返されることを確認します。

9.2. Healthcheck を使用したシステム証明書のスクリーニング
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) 証明書のスタンドアロン手動テストを実行するには、次の手順に従います。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source=ipahealthcheck.dogtag.ca
    Copy to Clipboard Toggle word wrap
    • --source=ipahealthcheck.dogtag.ca オプションを指定すると、Healthcheck によって証明書テストだけが実行されます。

テストに成功すると、以下のようになります。 

{
  "source: ipahealthcheck.dogtag.ca",
  "check: DogtagCertsConfigCheck",
  "result: SUCCESS",
  "uuid: 9b366200-9ec8-4bd9-bb5e-9a280c803a9c",
  "when: 20191008135826Z",
  "duration: 0.252280",
  "kw:" {
    "key": "Server-Cert cert-pki-ca",
    "configfile":  "/var/lib/pki/pki-tomcat/conf/ca/CS.cfg"
    }
}
Copy to Clipboard Toggle word wrap

テストに失敗すると、以下のようになります。 

{
  "source: ipahealthcheck.dogtag.ca",
  "check: DogtagCertsConfigCheck",
  "result: CRITICAL",
  "uuid: 59d66200-1447-4b3b-be01-89810c803a98",
  "when: 20191008135912Z",
  "duration: 0.002022",
  "kw:" {
    "exception": "NSDB /etc/pki/pki-tomcat/alias not initialized",
    }
}
Copy to Clipboard Toggle word wrap
注記

問題を検出する際には、証明書テストをすべての IdM サーバーに対して実行してください。

第10章 IdM Healthcheck を使用した証明書の検証
リンクのコピー

Identity Management (IdM) の Healthcheck ツールを理解して使用し、certmonger ユーティリティーによって管理される IdM 証明書の問題を特定する方法を説明します。

10.1. IdM 証明書の Healthcheck テスト
リンクのコピー

Healthcheck ツールには、Identity Management (IdM) の certmonger によって管理される証明書のステータスを確認するためのテストがいくつか含まれています。certmonger の詳細は、certmonger を使用したサービスの IdM 証明書の取得 を参照してください。

この一連のテストでは、証明書の有効期限、検証、信頼、およびその他の設定をチェックします。Healthcheck により、同じ根本的な問題に対して複数のエラーが報告される場合があります。

これらの証明書テストは、ipa-healthcheck --list-sources コマンド出力の ipahealthcheck.ipa.certs ソースの下で確認できます。

IPACertmongerExpirationCheck

このテストでは、certmonger の有効期限を確認します。

証明書の有効期限が切れている場合は、エラーが報告されます。

証明書の有効期限が間近な場合は、警告が表示されます。デフォルトでは、証明書の有効期限の 28 日以内にテストを実行すると警告が表示されます。

/etc/ipahealthcheck/ipahealthcheck.conf ファイルで日数を設定できます。ファイルを開いたら、default セクションにある cert_expiration_days オプションを変更します。

注記

certmonger は、証明書の有効期限に関する独自のビューをロードして管理します。このチェックでは、ディスク上の証明書は検証されません。

IPACertfileExpirationCheck

このテストでは、証明書ファイルまたは NSS データベースに正しいアクセス権が設定されているかどうかを確認します。このテストでは、有効期限も確認します。そのため、エラーまたは警告出力の msg 属性をよく読んでください。このメッセージは問題を特定するものです。

注記

このテストでは、ディスク上の証明書が確認されます。証明書が見つからないか読み取り不能な場合、Healthcheck はエラーを返します。

IPACertNSSTrust
このテストでは、NSS データベースに保存されている証明書の信頼を分析します。NSS データベース内の予想される追跡対象の証明書を対象に、Healthcheck によって信頼と予想値が比較されます。一致しない場合はエラーが発生します。
IPANSSChainValidation
このテストでは、NSS 証明書の証明書チェーンを検証します。テストでは、certutil -V -u V -e -d [dbdir] -n [nickname] コマンドを実行します。
IPAOpenSSLChainValidation

このテストでは、OpenSSL 証明書の証明書チェーンを検証します。具体的には、Healthcheck によって次の OpenSSL コマンドが実行されます。 

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
Copy to Clipboard Toggle word wrap
IPARAAgent
このテストでは、ディスク上の証明書を、uid=ipara,ou=People,o=ipaca の LDAP の同等のレコードと比較します。
IPACertRevocation
このテストは、certmonger によって管理されている証明書が取り消されていないことを確認します。
IPACertmongerCA

このテストでは、certmonger の認証局 (CA) の設定を検証します。IdM は CA なしでは証明書を発行できません。

certmonger は CA ヘルパーのセットを管理します。IPA という名前の CA が、IdM を通じてホストまたはサービスの証明書を発行します。その際に、CA はホストまたはユーザープリンシパルとして認証します。

また、CA サブシステム証明書を更新する dogtag-ipa-ca-renew-agentdogtag-ipa-ca-renew-agent-reuse もあります。

10.2. Healthcheck ツールを使用した証明書のスクリーニング
リンクのコピー

Healthcheck ツールを使用して Identity Management (IdM) 証明書ヘルスチェックのスタンドアロン手動テストを実行するには、次の手順に従います。

前提条件

  • root 権限がある。

手順

  • 以下を入力します。 

    # ipa-healthcheck --source=ipahealthcheck.ipa.certs --failures-only
    Copy to Clipboard Toggle word wrap

    • --source=ipahealthcheck.ipa.certs オプションを指定すると、IdM Healthcheck によって certmonger 証明書テストだけが実行されます。

      テストに成功すると、空の括弧が表示されます。 

      []
      Copy to Clipboard Toggle word wrap

      失敗したテストでは、以下の出力が表示されます。 

      {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "dbdir": "/path/to/nssdb",
    "error": [error],
    "msg": "Unable to open NSS database '/path/to/nssdb': [error]"
  }
}
      Copy to Clipboard Toggle word wrap

    上記の IPACertfileExpirationCheck テストは、NSS データベースを開くときに失敗しています。

注記

問題をチェックする際には、この一連の Healthcheck テストをすべての IdM サーバーに対して実行してください。

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る