Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

A.5. 检查服务失败为何启动

  1. 查看无法启动的服务的日志。请参阅 第 C.2 节 “身份管理日志文件和目录”
    例如,目录服务器的日志位于 /var/log/dirsrv/slapd-IPA-EXAMPLE-COM/errors
  2. 确保在其上运行该服务的服务器具有完全限定域名(FQDN)。请参阅 “验证服务器主机名”一节
  3. 如果 /etc/hosts 文件包含运行该服务的服务器的条目,请确保首先列出完全限定域名。另请参阅 /etc/hosts 文件”一节
  4. 请确定您满足 第 2.1.5 节 “主机名和 DNS 配置” 中的其他条件。
  5. 确定 keytab 中含有哪些键,用于服务验证。例如,对于 dirsrv 服务票据: 
    # klist -kt /etc/dirsrv/ds.keytab
Keytab name: FILE:/etc/dirsrv/ds.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
   2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
   [... output truncated ...]
    1. 确保显示的主体与系统的 FQDN 匹配。
    2. 确保上面显示的服务 keytab 中显示的密钥版本(KVNO)与服务器 key 选项卡中的 KVNO 相匹配。显示服务器 keytab: 
      $ kinit admin
$ kvno ldap/server.example.com@EXAMPLE.COM
    3. 验证客户端上的正向(A、AAAA 或两者)和反向记录是否与显示的系统名称和服务主体匹配。
  6. 验证客户端上的正向(A、AAAA 或两者)和反向记录是否正确。
  7. 确保客户端和服务器上的系统时间差异最多为 5 分钟。
  8. 在 IdM 管理服务器证书过期后,服务可能无法启动。检查是否是问题单中的原因:
    1. 使用 getcert list 命令列出由 certmonger 工具跟踪的所有证书。
    2. 在输出中,找到 IdM 管理证书: ldaphttpd 服务器证书。
    3. 检查标记为 status 的字段并 过期
      # getcert list
Number of certificates and requests being tracked: 8.
[... output truncated ...]
Request ID '20170421124617':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IPA-EXAMPLE-COM/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
	expires: 2019-04-22 12:46:17 UTC
[... output truncated ...]
Request ID '20170421130535':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
	expires: 2019-04-22 13:05:35 UTC
[... output truncated ...]
    如果您需要启动该服务,即使证书已过期,请参阅 第 26.5 节 “允许 IdM 使用过期的证书启动”