¶ "Ошибка" при переходе по любому из разделов меню, сразу после установки Зодиак.
Сразу после установки Зодиак, при переходе по любому из разделов меню выпадает ошибка:
Если ошибка возникает при любом переходе, то самой вероятной причиной является ошибка аутентификации (проблемы с сертификатами). Поскольку в каждом вызове осуществляется проверка прав.
Корректная настройка сертификатов и доверия этим сертификатам - это одна из самых трудоемких частей установки любой системы, работающей по протоколу HTTPS.
Эта настройка состоит из множества шагов, и ошибка может быть допущена на любом из них.
Диагностика проблем с сертификатами осложняется тем, что это область ИБ, для которой, зачастую, по локальным политикам многих ИБ запрещается раскрывать подробности происходящих ошибок. Поэтому, данное сообщение о ошибке не содержит подробностей.
Поэтому на первом этапе диагностики проблемы постараемся изложить правильную схему настройки, что, возможно, уже позволит обнаружить несоответствия ей.
В современных ОС (в первую очередь Linux) наблюдается тенденция к повышению уровня защищенности коммуникаций.
В частности, это находит свое отражение и в работе с сертификатами, а именно:
На сегодняшний день схема с использованием единственного самоподписанного сертификата не считается безопасной и коммуникации с серверами, использующими такие сертификаты, блокируются.
Минимально безопасной считается схема с двухуровневой цепочкой сертификатов:
- Корневой самоподписанный CA-сертификат;
- Транспортный сертификат, подписанный корневым самоподписанным CA-сертификатом.
Фактически, эта схема повторяет типовую схему, используемую в промышленной среде во многих организациях:
- Корневой сертификат организации (добавляется в доверенные на всех машинах в организации);
- Сертификаты под каждую систему, подписанные корневым.
В ряде ОС (например, Windows) и браузеров упрощенная схема с единственным самоподписанным сертификатам остается рабочей, поэтому она по-прежнему описана в нашей документации.
Но количество таких конфигураций неуклонно уменьшается, поэтому в ближайшее время в рамках обновления документации мы расширим этот раздел и сделаем акцент на данной особенности.
Настройка двухуровневой цепочки сертификатов также описана в Руководстве по установке в разделе 4.4.
Если описывать правильную схему настройки максимально кратко, то она состоит из следующих маркерных точек:
- а) выпущена цепочка сертификатов: корневой самоподписанный и транспортный(-ые), подписанные корневым;
- б) корневой сертификат добавлен в доверенные на ВСЕХ машинах в контуре (как серверных, так и клиентских);
- в) траспортный(-ые) сертификаты установлены на серверы Зодиак.АйТиЭм при помощи Zodiac.CertificateTool от УЗ root;
- г) отпечаток (thumbprint) транспортного(-ых) сертификатов внесен в конфигурацию серверов Зодиак.АйТиЭм;
- д) траспортный сертификат установлен на сервер KeyCloak в соответствии с разделом 2.4.3 Руководства по установке;
Можно посмотреть ошибки journalctl -u имя-сервера-администрирования
Для проверки можно с сервера администрирования сделать
curl https://keycloak-address:8443/auth/realms/master/.well-known/openid-configuration
Наиболее частые ошибки и пути решения:
- Необходимо сертификаты сервера SSO добавить\установить на сервера с ролью administration.
Сервер администрирования обращается к SSO по https, и для установления соединения производятся различные проверки с использованием сертификата под которым работает https.
Для корректной работы сертификат должен соответствовать определённым требованиям и вся его цепочка до корня установлена на машине с которой инициировали подключение.
Действия по установке сертификатов производятся от root-а
- Скорее всего сервер SSO недостижим с сервера администрирования / указан неправильный его урл в конфиге сервера администрирования / на сервер администрирования не добавлен сертификат SSO как доверенный.