无法在 IPA 服务器中创建用户以进行远程登录

tag-icon tag-icon centos certificate-authority freeipa identity-management
无法在 IPA 服务器中创建用户以进行远程登录

我使用脚本在 Centos 7 中创建了一个新的 IPA IdM 服务器。install-ipa-server.安装成功。安装后,我无法使用 IPA 用户添加用户创建用户,它要求输入名字和姓氏,但之后会显示以下错误:

ipa: ERROR: cert validation failed for "CN=server.example.com,0=EXAMPLE.COM" ((SEC_ERROR_UNTRUSRED_ISSSUER) Peer's certificate issuer has been masked as not trusted by the user.) 
ipa: ERROR: cannot connect to 'https://server.example.com/ipa/xml': (SEC ERROR_UNTRUSTED_ISSUER) Peer's certificate issuer has been masked as not trusted by the user.

另外,我无法使用浏览器连接到 IPA 服务器https://server.example.com(这是 IdM 服务器的主机名,在/etc/hosts文件中配置为指向服务器 IP)。最终出现网站未找到错误。

我哪里做错了?

答案1

通过运行 ipactl status 检查 IPA 是否正在运行 - 确保所有服务都在运行。

答案2

听起来你不信任你的新 CA,请确保你的 CA 证书是受信任的。

你可以通过 sclient 连接到你的 ipa 接口来实现这一点

openssl s_client -showcerts -connect server.example.com:443 </dev/null

CA 证书是第二个(默认)或第三个(如果 IPA 是从属/中间 CA)

使用受信任的证书列表进行检查(它应该是第一个)

less /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

如果没有,有一篇不错的文章介绍如何手动将此 CA 添加到您的信任中。安装 ca-certificates 包:

yum 安装 ca 证书

启用动态 CA 配置功能:

更新 CA 信任强制启用

将其作为新文件添加到 /etc/pki/ca-trust/source/anchors/:

cp foo.crt /etc/pki/ca-trust/source/anchors/

使用命令:

更新 CA 信任提取

http://kb.kerio.com/product/kerio-connect/server-configuration/ssl-certificates/adding-trusted-root-certificates-to-the-server-1605.html

相关内容