10.3. 收集尝试建立 AD 信任的调试日志
如果您在 IdM 环境和 AD 域间建立信任时遇到问题,请使用以下步骤启用详细的错误记录,以便您可以收集日志来尝试建立信任。您可以查看这些日志以帮助您的故障排除工作,或者您可以在红帽技术支持问题单中提供它们。
先决条件
- 您需要 root 权限来重启 IdM 服务。
步骤
要为 IdM 服务器启用调试,请使用以下内容创建文件
/etc/ipa/server.conf。[global] debug=True
重启
httpd服务以载入调试配置。[root@trust_controller ~]# systemctl restart httpd
停止
smb和winbind服务。[root@trust_controller ~]# systemctl stop smb winbind
为
smb和winbind服务设置调试日志级别。[root@trust_controller ~]# net conf setparm global 'log level' 100
要为 IdM 框架使用的 Samba 客户端代码启用调试日志记录,请编辑
/usr/share/ipa/smb.conf.empty配置文件使其包含以下内容。[global] log level = 100删除以前的 Samba 日志。
[root@trust_controller ~]# rm /var/log/samba/log.*
启动
smb和winbind服务。[root@trust_controller ~]# systemctl start smb winbind
打印时间戳,在您试图建立启用了详细模式的信任时。
[root@trust_controller ~]# date; ipa -vvv trust-add --type=ad ad.example.com
查看以下错误日志文件,以了解有关失败请求的信息:
-
/var/log/httpd/error_log -
/var/log/samba/log.*
-
禁用调试。
[root@trust_controller ~]# mv /etc/ipa/server.conf /etc/ipa/server.conf.backup [root@trust_controller ~]# systemctl restart httpd [root@trust_controller ~]# systemctl stop smb winbind [root@trust_controller ~]# net conf setparm global 'log level' 0 [root@trust_controller ~]# mv /usr/share/ipa/smb.conf.empty /usr/share/ipa/smb.conf.empty.backup [root@trust_controller ~]# systemctl start smb winbind
(可选) 如果无法确定身份验证问题的原因:
收集和归档您最近生成的日志文件。
[root@trust_controller ~]# tar -cvf debugging-trust.tar /var/log/httpd/error_log /var/log/samba/log.*
- 创建一个红帽技术支持问题单,并在尝试中提供时间戳和调试日志。
