26.5. IdM を有効期限の切れた証明書で起動できるようにする方法

IdM の管理サーバー証明書の期限が切れると、多くの IdM サービスにはアクセスできなくなります。基盤の Apache や LDAP サービスが証明書の期限が切れていても、サービスに SSL アクセスできるように設定できます。

期限切れの証明書でアクセスを制限できるようにする場合:

Apache、Kerberos、DNS および LDAP サービスは継続して機能します。これらのサービスがアクティブな場合は、ユーザーは IdM ドメインにログインできます。
アクセスに SSL が必要なクライアントサービスが依然として失敗します。たとえば、IdM クライアントで SSSD が必要で、SSSD は IdM に問い合わせるには SSL が必要であるため sudo に失敗します。

重要

この手順は一時的な回避策です。できるだけ早く必要な証明書を更新して、記載の変更を元に戻します。

Apache サーバーの mod_nss が有効な証明書を強制的に有効化しないように設定します。
1. /etc/httpd/conf.d/nss.conf ファイルを開きます。
2. NSSEnforceValidCerts パラメーターを off に設定します。
```
NSSEnforceValidCerts off
```
Apache を再起動します。
```
# systemctl restart httpd.service
```

LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認します。これには、nsslapd-validate-cert 属性が warn に設定されていることを確認します。

# ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert

dn: cn=config
nsslapd-validate-cert: warn

属性が warn に設定されていない場合には、変更してください。

# ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com
	
dn: cn=config
changetype: modify
replace: nsslapd-validate-cert
nsslapd-validate-cert: warn

ディレクトリーサーバーを再起動します。
```
# systemctl restart dirsrv.target
```

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

26.5. IdM を有効期限の切れた証明書で起動できるようにする方法