OtakUdang.Org

Beberapa kali saya menemukan problem instalasi FreeIPA server yang hampir serupa. Ternyata problemnya ada di pkisilent, yang selengkapnya bisa dibaca di beberapa link referensi yang saya cantumkan pada bagian akhir. Error yang muncul seperti ini:

 ##########################################################################################################

....

Configuring directory server for the CA: Estimated time 30 seconds
[1/3]: creating directory server user
[2/3]: creating directory server instance
[3/3]: restarting directory server
done configuring pkids.
Configuring certificate server: Estimated time 3 minutes 30 seconds
[1/17]: creating certificate server user
[2/17]: creating pki-ca instance
[3/17]: configuring certificate server instance
root : CRITICAL failed to configure ca instance Command '/usr/bin/perl /usr/bin/pkisilent 'ConfigureCA' '-cs_hostname' '389ds.linux.jc' '-cs_port' '9445' '-client_certdb_dir' '/tmp/tmp-LPWTqp' '-client_certdb_pwd' XXXXXXXX '-preop_pin' 'GWxPSve53pUveFqn73uf' '-domain_name' 'IPA' '-admin_user' 'admin' '-admin_email' 'root@localhost' '-admin_password' XXXXXXXX '-agent_name' 'ipa-ca-agent' '-agent_key_size' '2048' '-agent_key_type' 'rsa' '-agent_cert_subject' 'CN=ipa-ca-agent,O=LINUX.JC' '-ldap_host' '389ds.linux.jc' '-ldap_port' '7389' '-bind_dn' 'cn=Directory Manager' '-bind_password' XXXXXXXX '-base_dn' 'o=ipaca' '-db_name' 'ipaca' '-key_size' '2048' '-key_type' 'rsa' '-key_algorithm' 'SHA256withRSA' '-save_p12' 'true' '-backup_pwd' XXXXXXXX '-subsystem_name' 'pki-cad' '-token_name' 'internal' '-ca_subsystem_cert_subject_name' 'CN=CA Subsystem,O=LINUX.JC' '-ca_ocsp_cert_subject_name' 'CN=OCSP Subsystem,O=LINUX.JC' '-ca_server_cert_subject_name' 'CN=389ds.linux.jc,O=LINUX.JC' '-ca_audit_signing_cert_subject_name' 'CN=CA Audit,O=LINUX.JC' '-ca_sign_cert_subject_name' 'CN=Certificate Authority,O=LINUX.JC' '-external' 'false' '-clone' 'false'' returned non-zero exit status 255
Unexpected error - see ipaserver-install.log for details:

Configuration of CA failed

##########################################################################################################

Sedangkan jika kita check di dalam file /var/log/ipaserver-install.log muncul pesan seperti:

##########################################################################################################

...

2012-05-17 16:35:34,073 DEBUG duration: 3 seconds
2012-05-17 16:35:34,073 DEBUG [3/17]: configuring certificate server instance
2012-05-17 16:35:34,227 DEBUG args=/usr/bin/perl /usr/bin/pkisilent 'ConfigureCA' '-cs_hostname' '389ds.linux.jc' '-cs_port' '9445' '-client_certdb_dir' '/tmp/tmp-LPWTq
p' '-client_certdb_pwd' XXXXXXXX '-preop_pin' 'GWxPSve53pUveFqn73uf' '-domain_name' 'IPA' '-admin_user' 'admin' '-admin_email' 'root@localhost' '-admin_password' XXXXXX
XX '-agent_name' 'ipa-ca-agent' '-agent_key_size' '2048' '-agent_key_type' 'rsa' '-agent_cert_subject' 'CN=ipa-ca-agent,O=LINUX.JC' '-ldap_host' '389ds.linux.jc' '-ldap
_port' '7389' '-bind_dn' 'cn=Directory Manager' '-bind_password' XXXXXXXX '-base_dn' 'o=ipaca' '-db_name' 'ipaca' '-key_size' '2048' '-key_type' 'rsa' '-key_algorithm'
'SHA256withRSA' '-save_p12' 'true' '-backup_pwd' XXXXXXXX '-subsystem_name' 'pki-cad' '-token_name' 'internal' '-ca_subsystem_cert_subject_name' 'CN=CA Subsystem,O=LINU
X.JC' '-ca_ocsp_cert_subject_name' 'CN=OCSP Subsystem,O=LINUX.JC' '-ca_server_cert_subject_name' 'CN=389ds.linux.jc,O=LINUX.JC' '-ca_audit_signing_cert_subject_name' 'C
N=CA Audit,O=LINUX.JC' '-ca_sign_cert_subject_name' 'CN=Certificate Authority,O=LINUX.JC' '-external' 'false' '-clone' 'false'
2012-05-17 16:35:34,227 DEBUG stdout=libpath=/usr/lib

#######################################################################

#######################################################################

2012-05-17 16:35:34,227 DEBUG stderr=Exception in thread "main" java.lang.NoClassDefFoundError: 'ConfigureCA'
Caused by: java.lang.ClassNotFoundException: 'ConfigureCA'
at java.net.URLClassLoader$1.run(URLClassLoader.java:217)
at java.security.AccessController.doPrivileged(Native Method)
at java.net.URLClassLoader.findClass(URLClassLoader.java:205)
at java.lang.ClassLoader.loadClass(ClassLoader.java:321)
at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:294)
at java.lang.ClassLoader.loadClass(ClassLoader.java:266)
Could not find the main class: 'ConfigureCA'. Program will exit.

2012-05-17 16:35:34,227 CRITICAL failed to configure ca instance Command '/usr/bin/perl /usr/bin/pkisilent 'ConfigureCA' '-cs_hostname' '389ds.linux.jc' '-cs_port' '9445' '-client_certdb_dir' '/tmp/tmp-LPWTqp' '-client_certdb_pwd' XXXXXXXX '-preop_pin' 'GWxPSve53pUveFqn73uf' '-domain_name' 'IPA' '-admin_user' 'admin' '-admin_email' 'root@localhost' '-admin_password' XXXXXXXX '-agent_name' 'ipa-ca-agent' '-agent_key_size' '2048' '-agent_key_type' 'rsa' '-agent_cert_subject' 'CN=ipa-ca-agent,O=LINUX.JC' '-ldap_host' '389ds.linux.jc' '-ldap_port' '7389' '-bind_dn' 'cn=Directory Manager' '-bind_password' XXXXXXXX '-base_dn' 'o=ipaca' '-db_name' 'ipaca' '-key_size' '2048' '-key_type' 'rsa' '-key_algorithm' 'SHA256withRSA' '-save_p12' 'true' '-backup_pwd' XXXXXXXX '-subsystem_name' 'pki-cad' '-token_name' 'internal' '-ca_subsystem_cert_subject_name' 'CN=CA Subsystem,O=LINUX.JC' '-ca_ocsp_cert_subject_name' 'CN=OCSP Subsystem,O=LINUX.JC' '-ca_server_cert_subject_name' 'CN=389ds.linux.jc,O=LINUX.JC' '-ca_audit_signing_cert_subject_name' 'CN=CA Audit,O=LINUX.JC' '-ca_sign_cert_subject_name' 'CN=Certificate Authority,O=LINUX.JC' '-external' 'false' '-clone' 'false'' returned non-zero exit status 255
2012-05-17 16:35:34,233 DEBUG Configuration of CA failed
File "/usr/sbin/ipa-server-install", line 1173, in <module>
rval = main()

File "/usr/sbin/ipa-server-install", line 974, in main
subject_base=options.subject)

File "/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py", line 537, in configure_instance
self.start_creation("Configuring certificate server", 210)

File "/usr/lib/python2.7/site-packages/ipaserver/install/service.py", line 248, in start_creation
method()
File "/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py", line 680, in __configure_instance

raise RuntimeError('Configuration of CA failed')

##########################################################################################################

Untuk melakukan workaround, kita harus melakukan patch pada file /usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py. File patch bisa didownload di https://fedorahosted.org/freeipa/attachment/ticket/2529/freeipa-rcrit-985-shellescape.patch , atau kita edit sendiri file tersebut dengan menambahkan comment sign ('#') atau menghilangkan baris:

args[2:] = [ipautil.shell_quote(i) for i in args[2:]]

Untuk cara patching:

root# patch -p1 /usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py < /path/ke/file/freeipa-rcrit-985-shellescape.patch

Setelah itu uninstall terlebih dahulu setup FreeIPA server sebelumnya dengan: ipa-server-install --uninstall , lalu jalankan setup lagi dengan: ipa-server-install.

Referensi:

• https://bugzilla.redhat.com/show_bug.cgi?id=802832


• https://bugzilla.redhat.com/attachment.cgi?id=570054&action=edit


• https://fedorahosted.org/freeipa/ticket/2529


• https://fedorahosted.org/freeipa/attachment/ticket/2529/freeipa-rcrit-985-shellescape.patch

Suatu ketika saya tidak sengaja shutdown paksa server FreeIPA saya, sehingga ketika server tersebut dipower-on, ipa.service tidak mau up. Setelah diperiksa log di /var/log/messages muncul pesan gagal seperti:

Apr 18 05:14:14 ipa ns-slapd[1446]: [18/Apr/2012:05:14:14 +0700] startup - The default password storage scheme SSHA could not be read or was not found in the file /etc/dirsrv/slapd-PKI-IPA/dse.ldif. It is mandatory.

Apr 18 05:14:14 ipa systemd[1]: dirsrv@DOT-JC.service: control process exited, code=exited status=1

Untuk merestore kembali file tersebut, kita bisa menyalin dari file .bak yang ada pada direktori yang sama. Bisa kita check terlebih dahulu dengan perintah: locate dse.ldif yang kemudian muncul output:

/etc/dirsrv/slapd-DOT-JC/dse.ldif

/etc/dirsrv/slapd-DOT-JC/dse.ldif.bak

/etc/dirsrv/slapd-DOT-JC/dse.ldif.startOK

/etc/dirsrv/slapd-PKI-IPA/dse.ldif

/etc/dirsrv/slapd-PKI-IPA/dse.ldif.bak

/etc/dirsrv/slapd-PKI-IPA/dse.ldif.startOK

/usr/share/dirsrv/data/template-dse.ldif

Salin semua file .bak ke nama file asli di direktori yang sama:

shell> cp /etc/dirsrv/slapd-DOT-JC/dse.ldif.bak /etc/dirsrv/slapd-DOT-JC/dse.ldif

shell> cp  /etc/dirsrv/slapd-PKI-IPA/dse.ldif.bak /etc/dirsrv/slapd-PKI-IPA/dse.ldif

Setelah itu restart semua service yang berhubungan dengan FreeIPA server:

shell> systemctl restart dirsrv@PKI-IPA.service

shell> systemctl restart ipa.service

shell> service named restart 

Karena harus mengaudit file konfigurasi sebuah sistem (dalam hal ini Nagios), tiba-tiba harus merapikan file supaya tidak bingung membaca file config-nya. Kalau kita pernah mengkonfigurasi Nagios, biasanya kita mendapati file nagios.cfg terdapat banyak sekali file yang di-comment untuk memberikan keterangan sebuah baris konfigurasi atau sekedar mendisable sebuah opsi konfigiurasi (silahkan lihat file nagios.cfg). Karena kebanyakan baris-baris seperti ini tidak saya butuhkan, saya perlu meremove semua baris yang berawalan tanda comment (biasanya diawali dengan tanda '#') dari file nagios.cfg. Sebelum melakukan ini, saya menyalin file asli ke file dengan nama lain (misal nagios.cfg.original), untuk jaga-jaga jika saya tidak sengaja merusak file konfig, sehingga saya masih punya backup. Untuk proses menghilangkan baris yang saya maksud di atas, perintahnya adalah (semua menggunakan sudo):

$ sudo sed '/^#/d' nagios.cfg > nagios.cfg.temp

Perintah di atas akan menghilangkan semua baris yang diawali dengan tanda '#' dan menyalinnya ke file nagios.cfg.temp. Kenapa harus ke nama file yang berbeda? Karena juga langsung diwrite di file nagios.cfg maka kita akan mendapati hasil filenya kosong. Pada file nagios.cfg.temp jika kita lihat maka semua baris yang berawalan tanda comment ('#') sudah dihilangkan, tetapi masih ada yang mengganjal karena masih banyak space kosong di sana sini. Untuk menghilangkan space kosong tersebut caranya:

$ sudo sed '/./!d' nagios.cfg.temp > nagios.cfg

Pada saat awal instalasi Fedora 16, saya mendapat nama interface-nya berbeda dengan biasanya. Kalo biasanya saya menjalankan ifconfig akan mendapati semacam eth0, eth1, eth2, eth0:2, eth2:4, sit0, dst, kali ini yang muncul adalah p3p1. WTF?

 p3p1      Link encap:Ethernet  HWaddr 00:0C:29:42:7A:3D

          inet addr:192.168.216.140  Bcast:192.168.216.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe42:7a3d/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:449 errors:0 dropped:0 overruns:0 frame:0

          TX packets:114 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:34547 (33.7 KiB)  TX bytes:12395 (12.1 KiB)

          Interrupt:19 Base address:0x2000

Ternyata nama interface tersebut muncul dari penamaan BIOS. Untuk mendisable penamaan dari BIOS, cukup ditambahkan opsi biosdevname=0 di dalam file /etc/grub2.conf. Edit file sehingga nampak seperti:

 ### BEGIN /etc/grub.d/10_linux ###

menuentry 'Fedora (3.2.7-1.fc16.i686)' --class fedora --class gnu-linux --class gnu --class os {

        load_video

        set gfxpayload=keep

        insmod gzio

        insmod part_gpt

        insmod ext2

        set root='(hd0,gpt2)'

        search --no-floppy --fs-uuid --set=root ac2b3f09-0298-4a5a-bb55-5fe8ea4e2855

        echo 'Loading Fedora (3.2.7-1.fc16.i686)'

        linux   /vmlinuz-3.2.7-1.fc16.i686 ...(opsi macem-macem di sini)... biosdevname=0

        echo 'Loading initial ramdisk ...'

        initrd /initramfs-3.2.7-1.fc16.i686.img

Setelah itu restart/reboot, dan saya mendapati nama interface eth0. 

LDAP (Lightweight Directory Access Protocol)

FreeIPA (IPA - Identity, Policy, Audit)

INSTALASI/SETUP

FreeIPA Server Setup

Kalo kita sering bermain SSL certificate, sampe numpuk-numpuk create-nya, ada kemungkinan kita akan mendapatkan error semacam ini. Kalau kasus saya pada saat menginstal aplikasi IPA (Identity, Policy, Audit), baik di rumah maupun di kantor dengan menggunakan browser yang sama (Firefox). 

Ah iya, saya lupa menyebutkan bahwa error yang saya dapatkan ini dari browser Firefox di Win 7. Setelah browsing ke sana ke mari akhirnya saya mendapati bahwa saya hanya harus men-delete file cert8.db yang berlokasi di 

C:\Users\<user win 7>\AppData\Roaming\Mozilla\Firefox\Profiles\trmzzmkd.default\

setelah itu tinggal restart Firefox dan error di atas hilang. Bukan cara elegan sih, tapi.. ya gitu deh...it works. :P 

Awalnya sih cuma pengen mengedit string "example.com" dengan (misal) "dot.jc" pas sedang setup konfigurasi OpenLDAP. Sebenarnya sih bisa diedit satu-satu. Tapi yang namanya terdistraksi, apapun bisa terjadi (termasuk browse ke 9gag, heheheh). Karena string yang mau saya ganti berada di dalam multiple file, akhirnya saya bikin sekrip seperti ini:

#!/bin/bash

TSTRING="example.com"

TNEW="dot.jc"

DTARGET="/etc/ldap/*.*"

BAK="/etc/ldap/backup"

TEMP="/tmp/out.tmp.$$"

[ ! -d $BAK ] && mkdir -p $BAK || :

for f in $DTARGET

do

        if [ -f $f -a -r $f ]; then

                /bin/cp -f $f $BAK

                sed "s/$TSTRING/$TNEW/g" "$f" > $TEMP && mv $TEMP "$f"

        else

                echo "Error: Cannot read $f"

        fi

done

/bin/rm $TEMP

Setelah itu chmod +x file di atas supaya bisa dieksekusi (bisa juga dengan menjalanlan : sh namafile). Cuma sayangnya jika di dalam direktori target ada subdirektori lagi, sekrip ini akan menampilkan error "Error: Cannot read file".