Проблема обновления сервера FreeIPA

Описание проблемы
Причина
Решение
Рекомендации

Окружение

• Версия ОС: 8
• Конфигурация ОС: Рабочая станция, Сервер графический, Сервер минимальный
• Редакция ОС: Стандартная
• Архитектура: x86_64
• Версия ПО: ipa-server-4.10.3-11, python3-cryptography-41.0.7-2

Описание проблемы

При обновлении сервера FreeIPA командой:

sudo ipa-server-upgrade

обновление завершается ошибкой вида:

2025-07-09T06:18:26Z: DEBUG: wait_for_open_ports: localhost [389] timeout 300
2025-07-09T06:18:26Z: DEBUG: waiting for port: 389
2025-07-09T06:18:26Z: DEBUG: Failed to connect to port 389 tcp on ::1
2025-07-09T06:18:26Z: DEBUG: Failed to connect to port 389 tcp on 127.0.0.1
2025-07-09T06:20:26Z ERROR IPA server upgrade failed: Inspect /var/log/ipaupgrade.log and run command ipa-server-upgrade manually.

Причина

Ошибка возникает из-за недоступности сервиса LDAP (порт 389/tcp) или LDAPS (порт 636/tcp) на момент выполнения обновления.

Команда ipa-server-upgrade выполняет критические операции с каталогом FreeIPA, включая:

• обновление схемы LDAP – для совместимости с новой версией FreeIPA;

• миграцию данных – например, при переходе на новую версию 389-ds;

• обновление конфигурационных файлов (например, /etc/ipa/default.conf).

Решение

Решить указанную проблему можно двумя способами:

• отредактировав вручную файл /etc/dirsrv/slapd-REDOSIPA-TEST/dse.ldif;

• настроив порт LDAP (LDAPS) через утилиту управления 389 Directory Server – dsconf.

Редактирование файла dse.ldif

Откройте файл dse.ldif на редактирование:

nano /etc/dirsrv/slapd-REDOSIPA-TEST/dse.ldif

Измените значение параметра nsslapd-port: 0 на nsslapd-port: 389:

nsslapd-port: 389

Сохраните внесенные в файл изменения и повторите попытку обновления сервера FreeIPA:

sudo ipa-server-upgrade

Настройка порта с помощью утилиты dsconf

Для решения проблемы выполните команду:

sudo dsconf -D "cn=Directory Manager" ldaps://<адрес_ldap> config replace nsslapd-port=389

где ldaps:// может принимать следующие значения:

• ldaps://localhost – если сервер локальный;

• ldaps://server.redosipa.test – если сервер удалённый.

Рекомендации

Перед следующими обновлениями FreeIPA рекомендуется проверять значение параметра nsslapd-port командой:

 grep -i nsslapd-port /etc/dirsrv/slapd-REDOSIPA-TEST/dse.ldif 
 
 nsslapd-port: 389

Дата последнего изменения: 07.10.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.