Red Hat Summit1.2. Directory Server で NSS データベースをアンロックする方法
Directory Server は、証明書署名要求 (CSR)、秘密鍵、および証明書をネットワークセキュリティーサービス (NSS) データベースに保存します。新規インスタンスをインストールすると、インストーラーは NSS データベースを自動的に作成し、無作為にパスワードで保護します。インストーラーは、このパスワードを以下のファイルに保存します。
-
/etc/dirsrv/slapd-instance_name/pwdfile.txt:dsconf tlsコマンドは、このファイルを使用して NSS データベースにアクセスします。 /etc/dirsrv/slapd-instance_name/pin.txt: このファイルには、Directory Server の起動時に NSS データベースを自動的にアンロックするトークンとパスワードが含まれます。- インスタンスを起動するたびに、Directory Server が NSS データベースのパスワードを要求するようにするには、このファイルを削除します。
- パスワードを要求せずにインスタンスを自動的に起動するようにするには、NSS データベースパスワードを変更する場合にこのファイルを保存して更新します。
/etc/dirsrv/slapd-instance_name/pin.txt ファイルが存在しない場合は、暗号化を有効にして Directory Server を起動し、NSS データベースにパスワードを設定すると、動作は以下のようになります。
systemctlユーティリティーまたはdsctlユーティリティーがns-slapdDirectory Server プロセスを開始すると、systemdサービスはパスワードを要求して、自動的にsystemd-tty-ask-password-agentユーティリティーに入力を渡します。#
dsctl instance_name startEnter PIN for Internal (Software) Token: (press TAB for no echo)まれに、
ns-slapdDirectory Server プロセスがsystemctlユーティリティーまたはdsctlユーティリティーで開始されず、プロセスがターミナルから切り離されていると、ns-slapdは、wallコマンドを使用してすべてのターミナルにメッセージを送信します。Broadcast message from root@server (Fri 2021-01-01 06:00:00 CET): Password entry required for 'Enter PIN for Internal (Software) Token:' (PID 1234). Please enter password with the systemd-tty-ask-password-agent tool!
パスワードを入力するには、次のコマンドを実行します。
#
systemd-tty-ask-password-agentEnter PIN for Internal (Software) Token:
関連情報
