Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

IdM Healthcheck을 사용하여 IdM 환경 모니터링

Red Hat Enterprise Linux 10

상태 및 상태 점검 수행

Red Hat Customer Content Services

초록

ipa-healthcheck 유틸리티를 사용하면 관리자가 Red Hat IdM(Identity Management) 환경에서 문제를 감지할 수 있습니다. 여기에는 IdM 서비스의 상태 점검, 구성 파일 권한, 복제 상태, 인증서 문제가 포함됩니다.

Red Hat 문서에 관한 피드백 제공
링크 복사

문서 개선을 위한 의견에 감사드립니다. 어떻게 개선할 수 있는지 알려주십시오.

Jira를 통해 피드백 제출 (계정 필요)

  1. Jira 웹 사이트에 로그인합니다.
  2. 상단 탐색 바에서 생성을 클릭합니다.
  3. 요약 필드에 설명 제목을 입력합니다.
  4. 설명 필드에 개선을 위한 제안을 입력합니다. 문서의 관련 부분에 대한 링크를 포함합니다.
  5. 대화 상자 하단에서 생성 을 클릭합니다.

1장. IdM 상태 점검 툴 설치 및 실행
링크 복사

IdM Healthcheck 툴과 설치 및 실행 방법에 대해 자세히 알아보십시오.

1.1. IdM의 상태 점검
링크 복사

IdM(Identity Management)의 Healthcheck 명령줄 툴을 사용하면 IdM 환경의 성능에 영향을 줄 수 있는 문제를 찾을 수 있습니다. Healthcheck를 사용하면 문제를 사전에 식별하여 중요 상태가 되기 전에 수정할 수 있습니다.

참고

Kerberos 티켓을 받지 않고 Healthcheck을 사용할 수 있습니다.

모듈은 독립적입니다.

Healthcheck는 다음을 확인하는 독립 모듈로 구성됩니다.

  • 복제 문제
  • 인증서 유효성
  • 인증 기관 인프라 문제
  • IdM 및 Active Directory 신뢰 문제
  • 파일 권한 및 소유권 설정 수정

출력 형식 및 대상

output-type 옵션을 사용하여 Healthcheck에 대해 다음 유형의 출력을 생성할 수 있습니다.

  • JSON: 머신에서 읽을 수 있는 JSON 형식(기본값)
  • human: 사람이 읽을 수 있는 출력

--output-file 옵션을 사용하여 출력을 저장할 파일을 지정할 수 있습니다.

결과

각 Healthcheck 모듈은 다음 결과 중 하나를 반환합니다.

SUCCESS
시스템이 예상대로 구성됩니다.
경고
구성을 모니터링하거나 평가하는 것이 좋습니다.
오류
시스템이 예상대로 구성되지 않았습니다.
심각
구성이 예상대로 이루어지지 않으며 IdM 배포 기능에 상당한 영향을 미칠 수 있습니다.

1.2. IdM 상태 점검 설치
링크 복사

IdM Healthcheck 툴을 설치하는 방법을 알아봅니다.

사전 요구 사항

  • root 로 로그인했습니다.

프로세스

  • ipa-healthcheck 패키지를 설치합니다. 

    [root@server ~]# dnf install ipa-healthcheck
    Copy to Clipboard Toggle word wrap

검증

  • 기본 상태 점검 테스트를 수행합니다. 

    [root@server ~]# ipa-healthcheck
[]
    Copy to Clipboard Toggle word wrap

    빈 대괄호 [] 는 완전한 기능을 갖춘 IdM 설치를 나타냅니다.

1.3. IdM Healthcheck 수동 실행
링크 복사

다음 방법 중 하나로 Healthcheck 테스트를 실행할 수 있습니다.

이 섹션에서는 Healthcheck 테스트를 수동으로 실행하는 방법을 설명합니다.

사전 요구 사항

프로세스

  1. 선택 사항: 사용 가능한 모든 상태 점검 테스트 목록을 표시하려면 다음을 입력합니다. 

    [root@server ~]# ipa-healthcheck --list-sources
    Copy to Clipboard Toggle word wrap

  2. Healthcheck 유틸리티를 실행하려면 다음을 입력합니다. 

    [root@server ~]# ipa-healthcheck
    Copy to Clipboard Toggle word wrap

1.4. 스케줄에서 IdM Healthcheck 실행
링크 복사

일정에 따라 실행되도록 IdM Healthcheck을 구성하려면 다음 절차를 따르십시오. 여기에는 다음 유틸리티 구성이 포함됩니다.

  • Healthcheck 툴을 주기적으로 실행하고 로그를 생성하는 systemd 타이머입니다.
  • 로그 교체를 확인하는 crond 서비스입니다.

기본 로그 이름은 healthcheck.log 이고 순환된 로그는 healthcheck.log-YYYMMDD 형식을 사용합니다.

참고

상태 점검 타이머 도구는 실시간 도구가 아닙니다. 한 시간 동안 몇 번 실행해야합니다. 서비스 또는 디스크 공간과 같이 실시간 모니터링이 필요한 경우 다른 도구를 사용합니다.

사전 요구 사항

  • root 권한이 있습니다.

프로세스

  1. systemd 타이머를 활성화합니다. 

    # systemctl enable ipa-healthcheck.timer
Created symlink /etc/systemd/system/multi-user.target.wants/ipa-healthcheck.timer -> /usr/lib/systemd/system/ipa-healthcheck.timer.
    Copy to Clipboard Toggle word wrap

  2. systemd 타이머를 시작합니다. 

    # systemctl start ipa-healthcheck.timer
    Copy to Clipboard Toggle word wrap

  3. /etc/logrotate.d/ipahealthcheck 파일을 열어 저장할 로그 수를 구성합니다. 

    [...]
    rotate 30
}
    Copy to Clipboard Toggle word wrap

    기본적으로 로그는 최신 로그에서 덮어쓰기 30일 전에 저장됩니다.

  4. 동일한 파일에서 로그를 저장하는 파일의 경로를 구성합니다. 

    /var/log/ipa/healthcheck/healthcheck.log {
[...]
    Copy to Clipboard Toggle word wrap

    기본적으로 로그는 /var/log/ipa/healthcheck/ 디렉터리에 저장됩니다.

  5. 파일을 저장합니다.

  6. crond 서비스가 활성화되어 실행 중인지 확인합니다. 

    # systemctl enable crond
# systemctl start crond
    Copy to Clipboard Toggle word wrap

  7. 로그 생성을 시작하려면 IdM 상태 점검 서비스를 시작합니다. 

    # systemctl start ipa-healthcheck
    Copy to Clipboard Toggle word wrap

검증

  1. /var/log/ipa/healthcheck/ 디렉터리로 이동합니다.
  2. 로그 파일의 내용을 표시하여 올바르게 생성되었는지 확인합니다.

1.5. 로그 교체
링크 복사

로그 순환은 매일 새 로그 파일을 생성하고 파일은 날짜별로 구성됩니다. 날짜는 파일 이름에 포함됩니다.

로그 교체를 사용하면 저장할 최대 로그 파일 수를 구성할 수 있습니다. 이 수를 초과하면 최신 파일이 가장 오래된 파일을 대체합니다. 예를 들어 최대 순환 수가 30인 경우 30번째 로그 파일이 첫 번째 로그 파일인 가장 오래된 로그 파일을 대체합니다.

로그 순환을 통해 빈 로그 파일이 줄어들고 이를 구성합니다. 이렇게 하면 로그를 분석하는 데 도움이 됩니다.

1.6. IdM 상태 점검 구성 수정
링크 복사

/etc/ipahealthcheck/ipahealthcheck.conf 파일에 원하는 명령줄 옵션을 추가하여 IdM(Identity Management) 상태 점검 설정을 변경할 수 있습니다. 예를 들어 이전에 로그 교체를 구성하고 로그가 자동 분석에 적합한 형식인지 확인하려고 하지만 새 타이머를 설정하지 않으려는 경우 유용할 수 있습니다.

수정 후 Healthcheck에서 생성하는 모든 로그는 새 설정을 따릅니다. 이러한 설정은 Healthcheck의 수동 실행에도 적용됩니다.

참고

Healthcheck을 수동으로 실행하는 경우 구성 파일의 설정이 명령줄에 지정된 옵션보다 우선합니다. 예를 들어 구성 파일에서 output_typehuman 로 설정된 경우 명령줄에 json 을 지정하면 적용되지 않습니다. 구성 파일에 지정되지 않은 명령행 옵션이 정상적으로 적용됩니다.

1.7. 출력 로그 형식을 변경하도록 상태 점검 구성
링크 복사

이미 구성된 타이머를 사용하여 Healthcheck을 구성하려면 다음 절차를 따르십시오. 이 예에서는 사용자가 읽을 수 있는 형식으로 로그 생성을 시작하고 오류만 아니라 성공적인 결과를 포함하도록 Healthcheck을 재구성합니다.

사전 요구 사항

  • root 권한이 있습니다.
  • 이전에 일정에 따라 실행되도록 Healthcheck을 구성했습니다.

프로세스

  1. 텍스트 편집기에서 /etc/ipahealthcheck/ipahealthcheck.conf 파일을 엽니다.
  2. [default] 섹션에 output_type=humanall=True 옵션을 추가합니다.
  3. 파일을 저장하고 닫습니다.

검증

  1. Healthcheck을 수동으로 실행합니다. 

    # ipa-healthcheck
    Copy to Clipboard Toggle word wrap
  2. /var/log/ipa/healthcheck/ 로 이동하여 로그가 올바른 형식인지 확인합니다.

2장. IdM Healthcheck를 사용하여 서비스 확인
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 서버에서 사용하는 서비스를 모니터링할 수 있습니다.

2.1. IdM 서비스 상태 점검 테스트
링크 복사

Healthcheck 툴에는 IdM(Identity Management) 서비스가 올바르게 실행되고 있는지 확인하는 테스트가 포함되어 있습니다. 이 Healthcheck 테스트에서 올바르게 실행되지 않는 IdM 서비스로 시작하면 다른 Healthcheck 테스트에서 오류가 발생할 수 있습니다.

서비스 테스트는 구성된 기능에 따라 컨텍스트에 따라 다릅니다. 예를 들어, 이름이 지정된 것은 통합 IdM DNS 서비스가 IdM 서버에 구성된 경우에만 확인됩니다. 일부(예: smb 또는 winbind )는 IdM-AD 신뢰가 활성화된 경우에만 확인됩니다.

테스트에서 평가하는 IdM 서비스 목록은 다음과 같습니다.

  • certmonger
  • dirsrv
  • gssproxy
  • httpd
  • ipa_custodia
  • ipa_otpd
  • kadmin
  • krb5kdc
  • named
  • ods_enforcerd
  • ipa_dnskeysyncd
  • pki_tomcatd
  • sssd
  • chronyd
  • smb
  • winbind

ipa-healthcheck --list-sources 명령을 실행하고 출력에서 ipahealthcheck.meta.services 섹션을 식별하여 이 목록을 볼 수 있습니다.

2.2. Healthcheck을 사용하여 IdM 서비스 선별
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 서버에서 실행되는 서비스의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.meta.services
    Copy to Clipboard Toggle word wrap
    • --source=ipahealthcheck.meta.services 옵션을 사용하면 IdM Healthcheck만 서비스 테스트만 수행할 수 있습니다.
    • --failures-only 옵션은 기본적으로 활성화되어 있으며 IdM Healthcheck에서 경고, 오류 및 심각한 문제만 보고하도록 합니다.

    테스트에 성공하면 빈 대괄호가 표시됩니다. 

    [ ]
    Copy to Clipboard Toggle word wrap

    서비스 중 하나가 실패하면 결과는 다음 예와 유사할 수 있습니다. 

    {
  "source": "ipahealthcheck.meta.services",
  "check": "httpd",
  "result": "ERROR",
  "kw": {
    "status": false,
    "msg": "httpd: not running"
  }
}
    Copy to Clipboard Toggle word wrap
    참고

    문제를 발견하려고 할 때 모든 IdM 서버에서 이 테스트를 실행합니다.

3장. IdM Healthcheck를 사용하여 디스크 공간 확인
링크 복사

Healthcheck 도구를 사용하여 Identity Management 서버의 사용 가능한 디스크 공간을 모니터링할 수 있습니다.

3.1. 디스크 공간 상태 점검 테스트
링크 복사

Healthcheck 툴에는 사용 가능한 디스크 공간을 확인하는 FileSystemSpaceCheck 테스트가 포함되어 있습니다. 테스트에서는 다음을 확인합니다.

  • 필요한 최소 원시 여유 바이트입니다.
  • 최소 사용 가능한 디스크 공간 백분율은 20%로 하드 코딩됩니다.

테스트에서는 다음 경로를 확인합니다.

Expand
표 3.1. 테스트된 경로
테스트에서 확인한 경로최소 디스크 공간(MB)

/var/lib/dirsrv/

1024

/var/lib/ipa/backup/

512

/var/log/

1024

var/log/audit/

512

/var/tmp/

512

/tmp/

512

디스크 여유 공간이 충분하지 않으면 다음과 같은 문제가 발생할 수 있습니다.

  • 로깅
  • 실행
  • 백업

ipa-healthcheck --list-sources 명령을 실행하고 출력에서 ipahealthcheck.system.filesystemspace 섹션을 확인하여 FileSystemSpaceCheck 테스트를 찾을 수 있습니다.

3.2. Healthcheck 툴을 사용하여 디스크 공간 검사
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 서버에서 사용 가능한 디스크 공간의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.system.filesystemspace
    Copy to Clipboard Toggle word wrap

    • --source=ipahealthcheck.meta.services 옵션을 사용하면 IdM Healthcheck가 디스크 공간 테스트만 수행할 수 있습니다.

      테스트에 성공하면 빈 대괄호가 표시됩니다. 

      []
      Copy to Clipboard Toggle word wrap

      예를 들어 실패한 테스트가 표시될 수 있습니다. 

      {
  "source": "ipahealthcheck.system.filesystemspace",
  "check": "FileSystemSpaceCheck",
  "result": "ERROR",
  "kw": {
    "msg": "/var/lib/dirsrv: free space under threshold: 0 MiB < 1024 MiB",
    "store": "/var/lib/dirsrv",
    "free_space": 0,
    "threshold": 1024
  }
}
      Copy to Clipboard Toggle word wrap

      이 테스트에서는 /var/lib/dirsrv 디렉토리에서 사용 가능한 공간이 없음을 알려줍니다.

    참고

    문제를 발견하려고 할 때 모든 IdM 서버에서 이 테스트를 실행합니다.

4장. Healthcheck을 사용하여 IdM 구성 파일의 권한 확인
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 구성 파일을 테스트하는 방법에 대해 자세히 알아보십시오. 툴에 대한 일반적인 정보는 IdM의 Healthcheck를 참조하십시오.

4.1. 파일 권한 상태 점검 테스트
링크 복사

상태 점검 툴은 IdM(Identity Management)에 의해 설치되거나 구성된 파일의 소유권 및 권한을 테스트합니다.

이러한 파일의 소유권 또는 권한을 변경하는 경우 테스트에서 결과 섹션에서 경고를 반환합니다. 이는 반드시 구성이 작동하지 않음을 의미하지는 않지만, 파일이 기본 구성과 다르다는 것을 의미합니다.

ipa-healthcheck --list-sources 명령의 출력의 ipahealthcheck.ipa.files 소스에서 파일 권한 테스트를 찾을 수 있습니다.

IPAFileNSSDBCheck
이 테스트에서는 관련 경우 389-ds NSS 데이터베이스 및 CA(인증 기관) 데이터베이스를 확인합니다. 389-ds 데이터베이스는 /etc/dirsrv/slapd-<dashed-REALM >에 있으며 CA 데이터베이스는 /etc/pki/pki-tomcat/alias/ 에 있습니다.
IPAFileCheck

이 테스트에서는 다음 파일을 확인합니다.

  • /var/lib/ipa/ra-agent.{key|pem}
  • /var/lib/ipa/certs/httpd.pem
  • /var/lib/ipa/private/httpd.key
  • /etc/httpd/alias/ipasession.key
  • /etc/dirsrv/ds.keytab
  • /etc/ipa/ca.crt
  • /etc/ipa/custodia/server.keys
  • /etc/resolv.conf

  • /etc/hosts

    PKINIT가 활성화된 경우 다음과 같이 테스트됩니다.

  • /var/lib/ipa/certs/kdc.pem

  • /var/lib/ipa/private/kdc.key

    DNS가 구성된 경우 다음을 테스트합니다.

  • /etc/named.keytab
  • /etc/ipa/dnssec/ipa-dnskeysyncd.keytab
TomcatFileCheck

이 테스트에서는 특정 tomcat-specific 파일을 확인합니다.

  • /etc/pki/pki-tomcat/password.conf
  • /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
  • /etc/pki/pki-tomcat/server.xml

4.2. Healthcheck을 사용하여 구성 파일 검사
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 서버의 구성 파일의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

프로세스

  • IdM 구성 파일 소유권 및 권한에 대한 Healthcheck 테스트를 실행하려면 경고, 오류 및 중요한 문제만 표시하는 동안 다음을 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.ipa.files
    Copy to Clipboard Toggle word wrap

    테스트에 성공하면 빈 대괄호가 표시됩니다. 

    # ipa-healthcheck --source=ipahealthcheck.ipa.files*
[]
    Copy to Clipboard Toggle word wrap

    실패한 테스트에서는 다음 경고 와 유사한 결과를 표시합니다. 

    {
  "source": "ipahealthcheck.ipa.files",
  "check": "IPAFileNSSDBCheck",
  "result": "WARNING",
  "kw": {
    "key": "_etc_dirsrv_slapd-EXAMPLE-TEST_pkcs11.txt_mode",
    "path": "/etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt",
    "type": "mode",
    "expected": "0640",
    "got": "0666",
    "msg": "Permissions of /etc/dirsrv/slapd-EXAMPLE-TEST/pkcs11.txt are 0666 and should be 0640"
  }
}
    Copy to Clipboard Toggle word wrap
참고

문제를 발견하려고 할 때 모든 IdM 서버에서 이러한 테스트를 실행합니다.

5장. IdM Healthcheck를 사용하여 DNS 레코드 확인
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management)에서 DNS 레코드 문제를 식별할 수 있습니다. 툴에 대한 일반적인 정보는 IdM의 Healthcheck를 참조하십시오.

5.1. DNS 레코드 상태 점검 테스트
링크 복사

Healthcheck 툴에는 자동 검색에 필요한 예상 DNS 레코드를 확인할 수 있는지 확인하기 위한 IPADNSSystemRecordsCheck 테스트가 포함되어 있습니다. 특히 테스트에서는 로그인한 IdM 서버의 /etc/resolv.conf 파일에 지정된 첫 번째 확인자를 사용하여 ipa dns-update-system-records --dry-run 명령으로 가져온 DNS 레코드를 확인합니다.

ipa-healthcheck --list-sources 명령의 출력 출력의 ipahealthcheck.ipa.idns 소스에서 IPADNSSystemRecordsCheck 테스트를 찾을 수 있습니다.

5.2. Healthcheck 툴을 사용하여 IdM DNS 레코드 선별
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 서버에서 DNS 레코드의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

상태 점검 툴에는 많은 테스트가 포함되어 있습니다. --source ipahealthcheck.ipa.idns 옵션을 추가하여 DNS 레코드 테스트만 포함하여 결과를 축소할 수 있습니다.

사전 요구 사항

  • root 권한이 있습니다.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source ipahealthcheck.ipa.idns
    Copy to Clipboard Toggle word wrap

    • --source ipahealthcheck.ipa.idns 옵션을 사용하면 IdM Healthcheck가 DNS 레코드 테스트만 수행할 수 있습니다.

      레코드를 확인할 수 있는 경우 테스트에서 SUCCESS 를 결과로 반환합니다. 

      {
    "source": "ipahealthcheck.ipa.idns",
    "check": "IPADNSSystemRecordsCheck",
    "result": "SUCCESS",
    "uuid": "eb7a3b68-f6b2-4631-af01-798cac0eb018",
    "when": "20200415143339Z",
    "duration": "0.210471",
    "kw": {
      "key": "_ldap._tcp.idm.example.com.:server1.idm.example.com."
    }
}
      Copy to Clipboard Toggle word wrap

      예를 들어 레코드 수가 예상 수와 일치하지 않는 경우 테스트에서 경고를 반환합니다. 

    {
    "source": "ipahealthcheck.ipa.idns",
    "check": "IPADNSSystemRecordsCheck",
    "result": "WARNING",
    "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
    "when": "20200409100614Z",
    "duration": "0.203049",
    "kw": {
      "msg": "Got {count} ipa-ca A records, expected {expected}",
      "count": 2,
      "expected": 1
    }
}
    Copy to Clipboard Toggle word wrap

6장. IdM Healthcheck를 사용하여 최적의 KDC 작업자 프로세스 수 확인
링크 복사

IdM(Identity Management)에서 Healthcheck 툴을 사용하여 KDC(Kerberos Key Distribution Center)가 최적의 krb5kdc 작업자 프로세스 수를 사용하도록 구성되어 있는지 확인할 수 있습니다. 이는 호스트의 CPU 코어 수와 같아야 합니다.

ipahealthcheck.ipa.kdc 소스에서 올바른 KDC 작업자 프로세스 수에 대한 테스트를 찾을 수 있습니다. Healthcheck 툴에는 많은 테스트가 포함되어 있으므로 --source ipahealthcheck.ipa.kdc 옵션을 추가하여 KDC 작업자 테스트만 포함하여 결과를 좁힐 수 있습니다.

사전 요구 사항

  • KDC 작업자 프로세스 Healthcheck 툴은 RHEL 8.7 이상에서만 사용할 수 있습니다.
  • root 사용자로 Healthcheck 테스트를 수행해야 합니다.

프로세스

  • KDC 작업자 프로세스 검사를 실행하려면 다음을 입력합니다. 

    # ipa-healthcheck --source ipahealthcheck.ipa.kdc
    Copy to Clipboard Toggle word wrap

    KDC 작업자 프로세스의 수가 CPU 코어 수와 일치하는 경우 테스트에서 SUCCESS 를 결과적으로 반환합니다. 

    {
	"source": "ipahealthcheck.ipa.kdc",
	"check": "KDCWorkersCheck",
	"result": "SUCCESS",
	"uuid": "68f6e20a-0aa9-427d-8fdc-fbb8196d56cd",
	"when": "20230105162211Z",
	"duration": "0.000157",
	"kw": {
  	"key": "workers"
	}
}
    Copy to Clipboard Toggle word wrap

    작업자 프로세스 수가 CPU 코어 수와 일치하지 않는 경우 테스트에서 경고를 반환합니다. 다음 예에서는 코어가 2개인 호스트는 하나의 KDC 작업자 프로세스만 갖도록 구성됩니다. 

    {
    "source": "ipahealthcheck.ipa.kdc",
    "check": "KDCWorkersCheck",
    "result": "WARNING",
    "uuid": "972b7782-1616-48e0-bd5c-49a80c257895",
    "when": "20230105122236Z",
    "duration": "0.203049",
    "kw": {
      "key": ‘workers',
      "cpus": 2,
      "workers": 1,
      "expected": "The number of CPUs {cpus} does not match the number of workers {workers} in {sysconfig}"
    }
}
    Copy to Clipboard Toggle word wrap

    이 테스트에서는 구성된 작업자가 없는 경우에도 경고가 출력됩니다. 다음 예에서는 /etc/sysconfig/krb5kdc 구성 파일에서 KRB5KDC_ARGS 변수가 없습니다. 

      {
    "source": "ipahealthcheck.ipa.kdc",
    "check": "KDCWorkersCheck",
    "result": "WARNING",
    "uuid": "5d63ea86-67b9-4638-a41e-b71f4
56efed7",
    "when": "20230105162526Z",
    "duration": "0.000135",
    "kw": {
      "key": "workers",
      "sysconfig": "/etc/sysconfig/krb5kdc",
      "msg": "KRB5KDC_ARGS is not set in {sysconfig}"
    }
  }
    Copy to Clipboard Toggle word wrap

7장. Healthcheck를 사용하여 IdM 복제 확인
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 복제를 테스트할 수 있습니다. 툴에 대한 일반적인 정보는 IdM의 Healthcheck를 참조하십시오.

7.1. IdM 복제 및 토폴로지 상태 점검 테스트
링크 복사

Healthcheck 툴에는 IdM(Identity Management) 토폴로지 구성 테스트가 포함되어 있습니다. 테스트에서는 복제 충돌 문제를 검색합니다.

ipa-healthcheck --list-sources 명령의 출력 출력의 ipahealthcheck.ipa.topologyipahealthcheck.ds.replication 소스에서 IPATopologyDomainCheckReplicationConflictCheck 테스트를 찾을 수 있습니다.

IPATopologyDomainCheck

다음 구성을 테스트합니다.

  • 토폴로지에서 IdM 서버의 연결이 끊어지지 않습니다.
  • IdM 서버에는 권장되는 복제 계약 수보다 많은 것이 없습니다.

테스트에 성공하면 테스트에서 구성된 도메인을 반환합니다. 그렇지 않으면 특정 연결 오류가 보고됩니다.

참고

이 테스트에서는 도메인 접미사에 대해 ipa topologysuffix-verify 명령을 실행합니다. 또한 이 서버에 IdM 인증 기관 서버 역할이 구성된 경우 ca 접미사에 대해 명령을 실행합니다.

ReplicationConflictCheck
LDAP 일치 항목 (&(objectclass=nstombstone))(nsds5ReplConflict=*) 의 항목을 검색합니다.

7.2. Healthcheck를 사용한 복제 검사
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 복제 및 토폴로지 구성에 대한 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

사전 요구 사항

  • root 권한이 있습니다.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.ds.replication --source=ipahealthcheck.ipa.topology
    Copy to Clipboard Toggle word wrap

    --source=ipahealthcheck.ds.replication--source=ipahealthcheck.ipa.topology 옵션을 사용하면 IdM Healthcheck가 복제 충돌 및 토폴로지 테스트만 수행할 수 있습니다.

    4개의 다른 결과가 가능합니다:

    • SUCCESS Cryostat- Cryostat 테스트가 성공적으로 통과되었습니다. 

      {
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "SUCCESS",
  "kw": {
    "suffix": "domain"
  }
}
      Copy to Clipboard Toggle word wrap
    • WARNING Cryostat- test가 통과되었지만 문제가 있을 수 있습니다.

    • ERROR - - - 테스트에 실패했습니다. 

      {
  "source": "ipahealthcheck.ipa.topology",
  "check": "IPATopologyDomainCheck",
  "result": "ERROR",
  "uuid": d6ce3332-92da-423d-9818-e79f49ed321f
  "when": 20191007115449Z
  "duration": 0.005943
  "kw": {
    "msg": "topologysuffix-verify domain failed, server2 is not connected (server2_139664377356472 in MainThread)"
  }
}
      Copy to Clipboard Toggle word wrap
    • CRITICAL Cryostat- Cryostat 테스트가 실패했으며 IdM 서버 기능에 영향을 미칩니다.
참고

문제를 확인하려고 할 때 모든 IdM 서버에서 이러한 테스트를 실행합니다.

8장. IdM Healthcheck을 사용하여 IdM 및 AD 신뢰 구성 확인
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management)과 AD(Active Directory) 간의 신뢰와 관련된 문제를 식별하는 방법에 대해 자세히 알아보십시오.

8.1. IdM 및 AD 신뢰 상태 점검 테스트
링크 복사

상태 점검 툴에는 IdM(Identity Management)과 AD(Active Directory) 간의 신뢰 상태를 테스트하기 위한 여러 테스트가 포함되어 있습니다.

모든 신뢰 테스트를 보려면 --list-sources 옵션을 사용하여 ipa-healthcheck 를 실행합니다. 

# ipa-healthcheck --list-sources
Copy to Clipboard Toggle word wrap

ipahealthcheck.ipa.trust 소스에서 모든 신뢰 관련 테스트를 찾을 수 있습니다.

IPATrustAgentCheck
현재 호스트가 신뢰 에이전트로 구성된 경우 이 테스트에서는 SSSD 설정을 확인합니다. /etc/sssd/sssd.conf 의 각 도메인에 대해 id_provider=ipaipa_server_modeTrue 인지 확인합니다.
IPATrustDomainsCheck
이 테스트에서는 sssctl domain-list 의 도메인 목록과 IdM 도메인을 제외하고 ipa trust-find 의 도메인 목록을 비교하여 신뢰 도메인이 SSSD 도메인과 일치하는지 확인합니다.
IPATrustCatalogCheck

이 테스트에서는 AD 사용자 Administrator@REALM 을 확인합니다. 이렇게 하면 sssctl domain-status 출력에 AD 글로벌 카탈로그 및 AD Domain Controller 값이 채워집니다.

각 신뢰 도메인에 대해 SID + 500의 ID, 즉 관리자 ID인 사용자를 검색한 다음 sssctl domain-status <domain> --active-server 의 출력을 확인하여 도메인이 활성 상태인지 확인합니다.

IPAsidgenpluginCheck
이 테스트에서는 IdM 389-ds 인스턴스에서 sidgen 플러그인이 활성화되어 있는지 확인합니다. 또한 이 테스트에서는 cn=pluginsIPA SIDGENipa-sidgen-task 플러그인에 nsslapd-pluginEnabled 옵션이 포함되어 있는지도 확인합니다.
IPATrustAgentMemberCheck
이 테스트에서는 현재 호스트가 cn=adtrust 에이전트,cn=sysaccounts,cn=etc,SUFFIX 의 멤버인지 확인합니다.
IPATrustControllerPrincipalCheck
이 테스트에서는 현재 호스트가 cn=adtrust 에이전트,cn=sysaccounts,cn=etc,SUFFIX 의 멤버인지 확인합니다.
IPATrustControllerServiceCheck
이 테스트에서는 현재 호스트가 ipactl에서 ADTRUST 서비스를 시작하는지 확인합니다.
IPATrustControllerConfCheck
이 테스트에서는 net conf list의 출력에서 passdb 백엔드에 ldapi 가 활성화되어 있는지 확인합니다.
IPATrustControllerGroupSIDCheck
이 테스트에서는 관리자 그룹의 SID가 Domain Admins의 RID인 512로 종료되는지 확인합니다.
IPATrustPackageCheck
이 테스트에서는 신뢰 컨트롤러 및 AD 신뢰가 활성화되지 않은 경우 trust-ad 패키지가 설치되어 있는지 확인합니다.

8.2. Healthcheck 툴로 신뢰 검사
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 및 AD(Active Directory) 신뢰 상태 점검의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.ipa.trust
    Copy to Clipboard Toggle word wrap

    --source=ipahealthcheck.ipa.trust 옵션을 사용하면 IdM Healthcheck만 신뢰 테스트만 수행할 수 있습니다.

    테스트에 성공하면 빈 대괄호가 표시됩니다. 

    # ipa-healthcheck --source=ipahealthcheck.ipa.trust
[]
    Copy to Clipboard Toggle word wrap
    참고

    문제를 찾을 때 모든 IdM 서버에서 이러한 테스트를 실행합니다.

9장. IdM Healthcheck을 사용하여 시스템 인증서 확인
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management)에서 시스템 인증서 문제 식별에 대해 자세히 알아보십시오.

9.1. 시스템 인증서 상태 점검 테스트
링크 복사

상태 점검 툴에는 시스템 또는 Dogtag 인증서를 확인하기 위한 여러 테스트가 포함되어 있습니다.

ipa-healthcheck --list-sources 명령의 출력에서 ipahealthcheck.dogtag.ca 소스에서 모든 인증서 관련 테스트를 찾을 수 있습니다.

DogtagCertsConfigCheck

이 테스트는 NSS 데이터베이스의 CA(Certificate Authority) 인증서를 CS.cfg 에 저장된 동일한 값과 비교합니다. 일치하지 않으면 CA가 시작되지 않습니다.

특히 다음을 확인합니다.

  • auditSigningCert cert-pki-ca against ca.audit_signing.cert
  • ocspSigningCert cert-pki-ca against ca.ocsp_signing.cert
  • caSigningCert cert-pki-ca against ca.signing.cert
  • ca.subsystem.cert에 대해 subsystemCert cert-pki-ca
  • ca.sslserver.cert 에 대해 server-Cert cert-pki-ca

KRA(Key Recovery Authority)가 설치된 경우 다음을 확인합니다.

  • transportCert cert-pki-kra against ca.connector.KRA.transportCert
DogtagCertsConnectivityCheck

이 테스트에서는 연결을 확인합니다. 이 테스트는 다음을 확인하는 ipa cert-show 1 명령과 동일합니다.

  • Apache의 PKI 프록시 구성
  • CA를 찾을 수 있는 IdM
  • RA 에이전트 클라이언트 인증서
  • 요청에 대한 CA 응답의 정확성

이 테스트에서는 ipa cert-show 명령을 실행할 수 있고 IdM CA에서 예상되는 응답이 인증서 자체 또는 찾을 수 없는 응답에서 반환되는지 확인합니다.

9.2. Healthcheck을 사용하여 시스템 인증서 검사
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 인증서의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.dogtag.ca
    Copy to Clipboard Toggle word wrap

    --source=ipahealthcheck.dogtag.ca 옵션을 사용하면 Healthcheck가 인증서 테스트만 수행할 수 있습니다.

    성공적인 테스트의 예는 다음과 같습니다. 

    {
  "source: ipahealthcheck.dogtag.ca",
  "check: DogtagCertsConfigCheck",
  "result: SUCCESS",
  "uuid: 9b366200-9ec8-4bd9-bb5e-9a280c803a9c",
  "when: 20191008135826Z",
  "duration: 0.252280",
  "kw:" {
    "key": "Server-Cert cert-pki-ca",
    "configfile":  "/var/lib/pki/pki-tomcat/conf/ca/CS.cfg"
    }
}
    Copy to Clipboard Toggle word wrap

    실패한 테스트의 예는 다음과 같습니다. 

    {
  "source: ipahealthcheck.dogtag.ca",
  "check: DogtagCertsConfigCheck",
  "result: CRITICAL",
  "uuid: 59d66200-1447-4b3b-be01-89810c803a98",
  "when: 20191008135912Z",
  "duration: 0.002022",
  "kw:" {
    "exception": "NSDB /etc/pki/pki-tomcat/alias not initialized",
    }
}
    Copy to Clipboard Toggle word wrap
참고

문제를 찾을 때 모든 IdM 서버에서 인증서 테스트를 실행합니다.

10장. IdM 상태 점검을 사용하여 인증서 확인
링크 복사

IdM(Identity Management)의 Healthcheck 툴을 이해하고 사용하여 certmonger 유틸리티에서 유지 관리하는 IdM 인증서 문제를 식별합니다.

10.1. IdM 인증서 상태 점검 테스트
링크 복사

Healthcheck 툴에는 IdM(Identity Management)의 certmonger 에서 유지 관리하는 인증서의 상태를 확인하기 위한 여러 테스트가 포함되어 있습니다. certmonger에 대한 자세한 내용은 certmonger 를 사용하여 서비스의 IdM 인증서 가져오기를 참조하십시오.

이 테스트 제품군은 인증서 만료, 검증, 신뢰 및 기타 구성을 확인합니다. Healthcheck는 동일한 기본 문제에 대해 여러 오류를 보고할 수 있습니다.

ipa-healthcheck --list-sources 명령의 출력에서 ipahealthcheck.ipa.certs 소스에서 이러한 인증서 테스트를 찾을 수 있습니다.

IPACertmongerExpirationCheck

이 테스트에서는 certmonger 의 만료를 확인합니다.

오류가 보고되면 인증서가 만료됩니다.

경고가 표시되면 인증서가 곧 만료됩니다. 테스트의 인증서 만료 전 28일 이하이면 기본적으로 경고가 표시됩니다.

/etc/ipahealthcheck/ipahealthcheck.conf 파일에서 일 수를 구성할 수 있습니다. 파일을 연 후 default 섹션에 있는 cert_expiration_days 옵션을 변경합니다.

참고

certmonger 는 인증서 만료에 대한 자체 보기를 로드하고 유지 관리합니다. 이 검사에서는 디스크상의 인증서의 유효성을 검사하지 않습니다.

IPACertfileExpirationCheck

이 테스트에서는 인증서 파일 또는 NSS 데이터베이스에 올바른 액세스 권한이 구성되어 있는지 확인합니다. 이 테스트에서는 만료도 확인합니다. 따라서 오류 또는 경고 출력에서 msg 속성을 주의 깊게 읽습니다. 메시지는 문제를 지정합니다.

참고

이 테스트에서는 디스크상의 인증서를 확인합니다. 인증서가 없거나 읽을 수 없는 경우 Healthcheck에서 오류를 반환합니다.

IPACertNSSTrust
이 테스트에서는 NSS 데이터베이스에 저장된 인증서에 대한 신뢰를 분석합니다. NSS 데이터베이스에서 예상되는 추적된 인증서의 경우 Healthcheck은 신뢰를 예상 값과 비교하고 일치하지 않는 인증서에서 오류가 발생합니다.
IPANSS CryostatValidation
이 테스트에서는 NSS 인증서의 인증서 체인의 유효성을 검사합니다. 이 테스트에서는 certutil -V -u V -e -d [dbdir] -n 명령을 실행합니다.
IPAOpenSSLChainValidation

이 테스트에서는 OpenSSL 인증서의 인증서 체인의 유효성을 검사합니다. 특히 Healthcheck는 다음 OpenSSL 명령을 실행합니다. 

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
Copy to Clipboard Toggle word wrap
IPARAAgent
이 테스트는 디스크의 인증서를 uid=ipara,ou=People,o=ipaca 의 LDAP의 동등한 레코드와 비교합니다.
IPACertRevocation
이 테스트에서는 certmonger 에서 유지 관리하는 인증서가 취소되지 않았는지 확인합니다.
IPACertmongerCA

이 테스트는 CA( 인증 기관) 구성을 확인합니다. IdM은 CA 없이 인증서를 발행할 수 없습니다.

certmonger 는 CA 도우미 세트를 유지 관리합니다. IPA 라는 CA는 IdM을 통해 호스트 또는 서비스의 인증서를 발행하여 호스트 또는 사용자 주체로 인증합니다.

CA 하위 시스템 인증서를 갱신하는 dogtag-ipa-ca-renew -agent 및 dogtag-ipa-renew-agent-reuse 도 있습니다.

10.2. Healthcheck 툴을 사용하여 인증서 선별
링크 복사

Healthcheck 툴을 사용하여 IdM(Identity Management) 인증서 상태 점검의 독립 실행형 수동 테스트를 실행하려면 다음 절차를 따르십시오.

사전 요구 사항

  • root 권한이 있습니다.

프로세스

  • 다음과 같이 입력합니다. 

    # ipa-healthcheck --source=ipahealthcheck.ipa.certs
    Copy to Clipboard Toggle word wrap

    • --source=ipahealthcheck.ipa.certs 옵션을 사용하면 IdM Healthcheck에서 certmonger 인증서 테스트만 수행할 수 있습니다.

      테스트에 성공하면 빈 대괄호가 표시됩니다. 

      []
      Copy to Clipboard Toggle word wrap

      실패한 테스트에서는 다음 출력을 보여줍니다. 

      {
  "source": "ipahealthcheck.ipa.certs",
  "check": "IPACertfileExpirationCheck",
  "result": "ERROR",
  "kw": {
    "key": 1234,
    "dbdir": "/path/to/nssdb",
    "error": [error],
    "msg": "Unable to open NSS database '/path/to/nssdb': [error]"
  }
}
      Copy to Clipboard Toggle word wrap

    IPACertfileExpirationCheck 테스트는 NSS 데이터베이스를 열지 못했습니다.

참고

문제를 확인하려고 할 때 모든 IdM 서버에서 이 Healthcheck 테스트 제품군을 실행합니다.

법적 공지
링크 복사

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동