A.5. サービスの起動に失敗した理由の調査
- 起動に失敗したサービスのログを確認します。「Identity Management ログファイルおよびディレクトリー」を参照してください。たとえば、ディレクトリーサーバーのログは
/var/log/dirsrv/slapd-IPA-EXAMPLE-COM/errors
にあります。 - サービスを実行しているサーバーに、完全修飾ドメイン名 (FQDN) があることを確認してください。「サーバーのホスト名の確認」を参照してください。
/etc/hosts
ファイルに、サービスを実行しているサーバーのエントリーが含まれる場合は、完全修飾ドメイン名が最初に記載されていることを確認してください。「/etc/hosts
ファイル」も参照してください。- 「ホスト名および DNS 設定」 の他の条件を満たしていることを確認してください。
- サービスの認証に使用されるキータブに、どのキーが含まれているかを判断します。たとえば、
dirsrv
サービスチケットの場合は以下のようになります。# klist -kt /etc/dirsrv/ds.keytab Keytab name: FILE:/etc/dirsrv/ds.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM 2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM [... output truncated ...]
- 表示されているプリンシパルがシステムの FQDN と一致していることを確認します。
- 上記のサービスキータブに表示されているキー (KVNO) のバージョンが、サーバーキータブの KVNO と一致していることを確認してください。サーバーのキータブを表示するには、次のコマンドを実行します、
$ kinit admin $ kvno ldap/server.example.com@EXAMPLE.COM
- クライアントの正引き (A、AAAA、またはその両方) レコードと逆引きレコードが、表示されているシステム名とサービスプリンシパルに一致することを確認します。
- クライアントの正引き (A、AAAA、またはその両方) レコードおよび逆引きレコードが正しいことを確認します。
- クライアントとサーバーのシステム時間の誤差が、最大 5 分であることを確認します。
- IdM 管理サーバーの証明書の期限が切れると、サービスが起動できなくなることがあります。ご使用のケースでこれが原因であるかを確認するには、次のコマンドを実行します。
- getcert リスト コマンドを使用して、
certmonger
ユーティリティーが追跡する証明書をすべてリスト表示します。 - この出力で、IdM 管理証明書 (
ldap
サーバー証明書およびhttpd
サーバー証明書) を見つけます。 status
とexpires
というラベルが付けられたフィールドを確認します。# getcert list Number of certificates and requests being tracked: 8. [... output truncated ...] Request ID '20170421124617': status: MONITORING stuck: no key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IPA-EXAMPLE-COM/pwdfile.txt' certificate: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB' CA: IPA issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM expires: 2019-04-22 12:46:17 UTC [... output truncated ...] Request ID '20170421130535': status: MONITORING stuck: no key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt' certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB' CA: IPA issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM expires: 2019-04-22 13:05:35 UTC [... output truncated ...]
証明書が期限切れになっても起動する必要がある場合は、「IdM が期限切れの証明書で起動できるようにする」を参照してください。