Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
26.5. IdM이 만료된 인증서로 시작하도록 허용
IdM 관리 서버 인증서가 만료된 후 대부분의 IdM 서비스에 액세스할 수 없게 됩니다. 인증서가 만료된 경우에도 서비스에 대한 SSL 액세스를 허용하도록 기본 Apache 및 LDAP 서비스를 구성할 수 있습니다.
만료된 인증서로 제한된 액세스를 허용하는 경우:
- Apache, Kerberos, DNS 및 LDAP 서비스가 계속 작동합니다. 이러한 서비스를 활성화하면 사용자가 IdM 도메인에 로그인할 수 있습니다.
- SSL이 필요한 클라이언트 서비스는 여전히 실패합니다. 예를 들어, IdM 클라이언트에 SSSD가 필요하므로
sudo
가 실패하고 SSSD에 IdM에 문의하려면 SSL이 필요합니다.
중요
이 절차는 임시 해결 방법을 통해서만 이루어집니다. 필요한 인증서를 가능한 한 빨리 갱신한 다음 설명된 변경 사항을 되돌립니다.
- Apache 서버에 유효한 인증서를 적용하지 않도록
mod_nss
모듈을 구성합니다./etc/httpd/conf.d/nss.conf
파일을 엽니다.NSSEnforceValidCerts
매개변수를off
로 설정합니다.NSSEnforceValidCerts off
- Apache를 다시 시작합니다.
# systemctl restart httpd.service
- LDAP 디렉터리 서버에 대해 유효성 검사를 비활성화했는지 확인합니다. 이렇게 하려면
nsslapd-validate-cert
속성이warn
으로 설정되어 있는지 확인합니다.# ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert dn: cn=config nsslapd-validate-cert: warn
속성이warn
으로 설정되지 않은 경우 다음을 변경합니다.# ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com dn: cn=config changetype: modify replace: nsslapd-validate-cert nsslapd-validate-cert: warn
- 디렉터리 서버를 다시 시작합니다.
# systemctl restart dirsrv.target