Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.5. IdM の期限切れ証明書での起動を許可する

IdM 管理サーバー証明書が期限切れになると、ほとんどの IdM サービスにアクセスできなくなります。証明書の期限が切れていても、サービスへの SSL アクセスを許可するように基礎となる Apache および LDAP サービスを設定することができます。
期限切れの証明書で制限されたアクセスを許可するには、以下を実行します。
  • Apache、Kerberos、DNS、および LDAP サービスは引き続き機能します。これらのサービスをアクティブにすると、ユーザーは IdM ドメインにログインできます。
  • アクセスに SSL を必要とするクライアントサービスは引き続き失敗します。たとえば、sudo は IdM クライアントで SSSD を必要とし、SSSD は IdM に接続するのに SSL が必要なので失敗します。
重要
この手順は、一時的な回避策としてのみ計画しています。必要な証明書を可能な限り迅速に更新し、上記の変更を元に戻す。
  1. Apache サーバーの mod_nss モジュールを設定して、有効な証明書を適用しないようにします。
    1. /etc/httpd/conf.d/nss.conf ファイルを開きます。
    2. NSSEnforceValidCerts パラメーターを off に設定します。 
      NSSEnforceValidCerts off
  2. Apache を再起動します。 
    # systemctl restart httpd.service
  3. LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認してください。これを実行するには、ns slapd-validate-cert 属性が warn に設定されていることを確認します。 
    # ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert

dn: cn=config
nsslapd-validate-cert: warn
    属性が warn に設定されていない場合、その属性を変更します。 
    # ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com
	
dn: cn=config
changetype: modify
replace: nsslapd-validate-cert
nsslapd-validate-cert: warn
  4. ディレクトリーサーバーを再起動します。 
    # systemctl restart dirsrv.target