Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.5. IdM が期限切れの証明書で起動できるようにする

IdM 管理サーバーの証明書が期限切れになると、ほとんどの IdM サービスにアクセスできなくなります。基礎となる Apache サービスおよび LDAP サービスを設定し、証明書が期限切れであってもサービスへの SSL アクセスを許可できます。
期限切れの証明書でアクセスを許可する場合は、以下を行います。
  • Apache、Kerberos、DNS、および LDAP サービスは引き続き操作します。これらのサービスをアクティブにすることで、ユーザーは IdM ドメインにログインできるようになります。
  • アクセスに SSL を必要とするクライアントサービスは引き続き失敗します。たとえば、IdM クライアントで SSSD を必要とし、SSSD は IdM と通信するのに SSL が必要なため、sudo は失敗します。
重要
この手順は、一時的な回避策としてのみ意図されています。必要な証明書をできるだけ早く更新し、上記の変更を元に戻します。
  1. Apache サーバーが有効な証明書を適用しないように mod_nss モジュールを設定します。
    1. /etc/httpd/conf.d/nss.conf ファイルを開きます。
    2. NSSEnforceValidCerts パラメーターを off に設定します。
      NSSEnforceValidCerts off
  2. Apache を再起動します。
    # systemctl restart httpd.service
  3. LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認します。これには、nsslapd-validate-cert 属性が warn に設定されていることを確認します。
    # ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert
    
    dn: cn=config
    nsslapd-validate-cert: warn
    属性が warn に設定されていない場合は、その属性を変更します。
    # ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com
    
    dn: cn=config
    changetype: modify
    replace: nsslapd-validate-cert
    nsslapd-validate-cert: warn
  4. Directory Server を再起動します。
    # systemctl restart dirsrv.target