26.5. IdM が期限切れの証明書で起動できるようにする
IdM 管理サーバーの証明書が期限切れになると、ほとんどの IdM サービスにアクセスできなくなります。基礎となる Apache サービスおよび LDAP サービスを設定し、証明書が期限切れであってもサービスへの SSL アクセスを許可できます。
期限切れの証明書でアクセスを許可する場合は、以下を行います。
- Apache、Kerberos、DNS、および LDAP サービスは引き続き操作します。これらのサービスをアクティブにすることで、ユーザーは IdM ドメインにログインできるようになります。
- アクセスに SSL を必要とするクライアントサービスは引き続き失敗します。たとえば、IdM クライアントで SSSD を必要とし、SSSD は IdM と通信するのに SSL が必要なため、
sudo
は失敗します。
重要
この手順は、一時的な回避策としてのみ意図されています。必要な証明書をできるだけ早く更新し、上記の変更を元に戻します。
- Apache サーバーが有効な証明書を適用しないように
mod_nss
モジュールを設定します。/etc/httpd/conf.d/nss.conf
ファイルを開きます。NSSEnforceValidCerts
パラメーターをoff
に設定します。NSSEnforceValidCerts off
- Apache を再起動します。
# systemctl restart httpd.service
- LDAP ディレクトリーサーバーの有効性チェックが無効になっていることを確認します。これには、
nsslapd-validate-cert
属性がwarn
に設定されていることを確認します。# ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert dn: cn=config nsslapd-validate-cert: warn
属性がwarn
に設定されていない場合は、その属性を変更します。# ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com dn: cn=config changetype: modify replace: nsslapd-validate-cert nsslapd-validate-cert: warn
- Directory Server を再起動します。
# systemctl restart dirsrv.target