26.5. IdM を有効期限の切れた証明書で起動できるようにする方法

IdM の管理サーバー証明書の期限が切れると、多くの IdM サービスにはアクセスできなくなります。基盤の Apache や LDAP サービスが証明書の期限が切れていても、サービスに SSL アクセスできるように設定できます。
期限切れの証明書でアクセスを制限できるようにする場合:
  • Apache、Kerberos、DNS および LDAP サービスは継続して機能します。これらのサービスがアクティブな場合は、ユーザーは IdM ドメインにログインできます。
  • アクセスに SSL が必要なクライアントサービスが依然として失敗します。たとえば、IdM クライアントで SSSD が必要で、SSSD は IdM に問い合わせるには SSL が必要であるため sudo に失敗します。

重要

この手順は一時的な回避策です。できるだけ早く必要な証明書を更新して、記載の変更を元に戻します。
  1. Apache サーバーの mod_nss が有効な証明書を強制的に有効化しないように設定します。
    1. /etc/httpd/conf.d/nss.conf ファイルを開きます。
    2. NSSEnforceValidCerts パラメーターを off に設定します。
      NSSEnforceValidCerts off
  2. Apache を再起動します。
    # systemctl restart httpd.service
  3. LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認します。これには、nsslapd-validate-cert 属性が warn に設定されていることを確認します。
    # ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert
    
    dn: cn=config
    nsslapd-validate-cert: warn
    属性が warn に設定されていない場合には、変更してください。
    # ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com
    	
    dn: cn=config
    changetype: modify
    replace: nsslapd-validate-cert
    nsslapd-validate-cert: warn
  4. ディレクトリーサーバーを再起動します。
    # systemctl restart dirsrv.target