HRay's blog

转载自https://www.kutu66.com//hulianwang/article_188064问题：我们有2个FreeIPA服务器在网络中运行，今天我们发现：https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020中间CA已过期，我们无法连接到LDAP。日志中有以下错误：ipa: INFO: 401 Unauthorized: [

ipa-getcert list #查看全部证书ipa-cacert-manage renew #更新证书ipa-getcert resubmit -i cert_nickname #cert_nickname自行替换，可由ipa-getcert list 命令获取到，结合自带的certmonger服务可以更新证书过期时间最后吐槽下freeipa的证书是个大坑，默认CA是...

重启机器后freeipa启动失败执行ipactl start发现连接389端口time out但是对应的ldap服务是开机启动的，服务状态也正常，看了下389是监听在ipv6的，看起来是默认配置不支持ipv6导致于是执行以下命令sysctl net.ipv6.conf.all.disable_ipv6=0sysctl net.ipv6.conf.lo.disable_ipv6=...

某台主机安装freeipa客户端后发现从其他主机连过来无法直接传递ticket，仍然需要输入密码，并且输入密码提示不正确，开始以为是kerberos的问题，但是本机执行kinit user正常，说明与kerberos通信正常，那sssd出现问题的可能性就比较大了，打开了sssd的log（参考http://blog.youkuaiyun.com/hrayha/article/details/45895925）,

执行ipa user-xxx这种命令都会出现ipa: ERROR: did not receive Kerberos credentials的错误 解决方法，先执行kinit username（username换成你自己的用户名） 然后解锁用户的话再执行ipa user-unlock username即可

注：转载自http://blog.youkuaiyun.com/xuyaqun/article/details/51596018 关于freeipa写的很全面，推荐一、背景 随着公司服务器、服务、用户越来越多，以前单机用户管理、单机sudo授权的方式已不是发展的要求，故需要做企业级的集中身份认证授权管理（比如：ldap、kerberos、ca、dns、sudo、密码策略），原因有三： 1、

https://www.globo.tech/learning-center/install-freeipa-centos-7/   文章说的是centos7，不过亲测centos6.6可安装，缺点是版本比较低，3.0.0的版本，有个证书两年到期的坑，证书到期的话可参考http://www.freeipa.org/page/IPA_2x_Certificate_Renewal

注：参考了http://my.oschina.net/u/142602/blog/186481 先在原ipaserver上执行如下命令 kinit adminipa-replica-prepare ipa2.xxx.comscp /var/lib/ipa/replica-info-ipa2.xxx.com.gpg root@ipa2.xxx.com:/root在热备主机上...