Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
26.5. IdM を有効期限の切れた証明書で起動できるようにする方法
IdM の管理サーバー証明書の期限が切れると、多くの IdM サービスにはアクセスできなくなります。基盤の Apache や LDAP サービスが証明書の期限が切れていても、サービスに SSL アクセスできるように設定できます。
期限切れの証明書でアクセスを制限できるようにする場合:
- Apache、Kerberos、DNS および LDAP サービスは継続して機能します。これらのサービスがアクティブな場合は、ユーザーは IdM ドメインにログインできます。
- アクセスに SSL が必要なクライアントサービスが依然として失敗します。たとえば、IdM クライアントで SSSD が必要で、SSSD は IdM に問い合わせるには SSL が必要であるため
sudo
に失敗します。
重要
この手順は一時的な回避策です。できるだけ早く必要な証明書を更新して、記載の変更を元に戻します。
- Apache サーバーの
mod_nss
が有効な証明書を強制的に有効化しないように設定します。/etc/httpd/conf.d/nss.conf
ファイルを開きます。NSSEnforceValidCerts
パラメーターをoff
に設定します。NSSEnforceValidCerts off
- Apache を再起動します。
# systemctl restart httpd.service
- LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認します。これには、
nsslapd-validate-cert
属性がwarn
に設定されていることを確認します。# ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert dn: cn=config nsslapd-validate-cert: warn
属性がwarn
に設定されていない場合には、変更してください。# ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com dn: cn=config changetype: modify replace: nsslapd-validate-cert nsslapd-validate-cert: warn
- ディレクトリーサーバーを再起動します。
# systemctl restart dirsrv.target
このページには機械翻訳が使用されている場合があります (詳細はこちら)。