Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.5. IdM이 만료된 인증서로 시작하도록 허용

IdM 관리 서버 인증서가 만료된 후 대부분의 IdM 서비스에 액세스할 수 없게 됩니다. 인증서가 만료된 경우에도 서비스에 대한 SSL 액세스를 허용하도록 기본 Apache 및 LDAP 서비스를 구성할 수 있습니다.
만료된 인증서로 제한된 액세스를 허용하는 경우:
  • Apache, Kerberos, DNS 및 LDAP 서비스가 계속 작동합니다. 이러한 서비스를 활성화하면 사용자가 IdM 도메인에 로그인할 수 있습니다.
  • SSL이 필요한 클라이언트 서비스는 여전히 실패합니다. 예를 들어, IdM 클라이언트에 SSSD가 필요하므로 sudo 가 실패하고 SSSD에 IdM에 문의하려면 SSL이 필요합니다.
중요
이 절차는 임시 해결 방법을 통해서만 이루어집니다. 필요한 인증서를 가능한 한 빨리 갱신한 다음 설명된 변경 사항을 되돌립니다.
  1. Apache 서버에 유효한 인증서를 적용하지 않도록 mod_nss 모듈을 구성합니다.
    1. /etc/httpd/conf.d/nss.conf 파일을 엽니다.
    2. NSSEnforceValidCerts 매개변수를 off 로 설정합니다. 
      NSSEnforceValidCerts off
  2. Apache를 다시 시작합니다. 
    # systemctl restart httpd.service
  3. LDAP 디렉터리 서버에 대해 유효성 검사를 비활성화했는지 확인합니다. 이렇게 하려면 nsslapd-validate-cert 속성이 warn 으로 설정되어 있는지 확인합니다. 
    # ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert

dn: cn=config
nsslapd-validate-cert: warn
    속성이 warn 으로 설정되지 않은 경우 다음을 변경합니다. 
    # ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com

dn: cn=config
changetype: modify
replace: nsslapd-validate-cert
nsslapd-validate-cert: warn
  4. 디렉터리 서버를 다시 시작합니다. 
    # systemctl restart dirsrv.target