A.3. 调查 IdM Web UI 身份验证失败
- 确保用户可以使用
kinit
工具从命令行进行身份验证。如果身份验证失败,请参阅 第 A.2 节 “调查kinit
身份验证失败”。 - 确保受影响服务器上的
httpd
和dirsrv
服务正在运行:# systemctl status httpd.service # systemctl status dirsrv@IPA-EXAMPLE-COM.service
- 确保
/var/log/audit/audit.log
和/var/log/messages
文件中没有相关的 SELinux Access Vector Cache (AVC)消息。如需了解有关解析 AVC 消息的详细信息,请参阅红帽知识库 中的 CLI 中的基本 SELinux 故障排除。 - 确保在您要进行身份验证的浏览器中启用了 cookies。
- 确保 IdM 服务器与您进行身份验证的系统之间的时间差最多为 5 分钟。
- 查看 Apache 错误日志:
/var/log/httpd/error_log
。 - 为身份验证过程启用详细日志记录,以帮助诊断问题。有关如何在 Firefox 中启用详细登录的建议,请参阅 系统级身份验证指南中的 Firefox Kerberos 配置故障排除。
如果您在使用证书登录时遇到问题:
- 在
/etc/httpd/conf.d/nss.conf
文件中,将LogLevel
属性改为info
。 - 重启 Apache 服务器:
# systemctl restart httpd
- 再次尝试使用 证书登录。
- 查看 Apache 错误日志:
/var/log/httpd/error_log
。日志显示mod_lookup_identity
模块记录的消息,包括有关模块在登录尝试期间是否成功匹配用户的信息。
相关信息
- 有关各种身份管理日志文件的描述,请参阅 第 C.2 节 “身份管理日志文件和目录”。