Show Table of Contents
26.5. IdM を有効期限の切れた証明書で起動できるようにする方法
IdM の管理サーバー証明書の期限が切れると、多くの IdM サービスにはアクセスできなくなります。基盤の Apache や LDAP サービスが証明書の期限が切れていても、サービスに SSL アクセスできるように設定できます。
期限切れの証明書でアクセスを制限できるようにする場合:
- Apache、Kerberos、DNS および LDAP サービスは継続して機能します。これらのサービスがアクティブな場合は、ユーザーは IdM ドメインにログインできます。
- アクセスに SSL が必要なクライアントサービスが依然として失敗します。たとえば、IdM クライアントで SSSD が必要で、SSSD は IdM に問い合わせるには SSL が必要であるため
sudoに失敗します。
重要
この手順は一時的な回避策です。できるだけ早く必要な証明書を更新して、記載の変更を元に戻します。
- Apache サーバーの
mod_nssが有効な証明書を強制的に有効化しないように設定します。/etc/httpd/conf.d/nss.confファイルを開きます。NSSEnforceValidCertsパラメーターをoffに設定します。NSSEnforceValidCerts off
- Apache を再起動します。
# systemctl restart httpd.service
- LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認します。これには、
nsslapd-validate-cert属性がwarnに設定されていることを確認します。# ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert dn: cn=config nsslapd-validate-cert: warn
属性がwarnに設定されていない場合には、変更してください。# ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com dn: cn=config changetype: modify replace: nsslapd-validate-cert nsslapd-validate-cert: warn
- ディレクトリーサーバーを再起動します。
# systemctl restart dirsrv.target
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.