附录 A. 故障排除:常规指南
本附录描述了确定问题根本原因的一般步骤,例如查询日志和服务状态。
注意
有关特定问题及其解决方案的列表,请参阅 附录 B, 故障排除:特定问题的解决方案。
当您遇到问题时,您会采取什么措施?
如果您知道 IdM 的具体区域导致了这个问题,请按照以下链接进行操作:
如果本指南没有帮助您查找和修复问题,请继续归档客户案例,请在问题单报告中包括您使用这些故障排除过程确定的任何显著错误输出。另 请参阅联系红帽技术支持。
A.1. 在执行 ipa
实用程序时调查失败
基本故障排除
- 将
--verbose
(-v
)选项添加到 命令。这将显示调试信息。 - 将
-vv
选项添加到 命令。这会显示 JSON 响应和请求。
高级故障排除
图 A.1 “执行 ipa cert-show 命令的构架” 显示用户使用 IdM 命令行工具时哪些组件交互。查询这些组件可帮助您调查问题的发生位置以及导致它的原因。
- 使用以下实用程序:
- 用于检查 IdM 服务器或客户端的 DNS 解析
的主机
Ping
以检查 IdM 服务器是否可用iptables
检查 IdM 服务器上的当前防火墙配置- 检查当前时间
的日期
nc
尝试连接到所需端口,如下所示 第 2.1.6 节 “端口要求”
有关使用这些实用程序的详情,请查看其 man page。 - 将
KRB5_TRACE
环境变量设置为/dev/stdout
文件,将 trace-logging 输出发送到/dev/stdout
:$ KRB5_TRACE=/dev/stdout ipa cert-find
查看 Kerberos 密钥分发中心(KDC)日志:/var/log/krb5kdc.log
。 - 查看 Apache 错误日志:
- 在服务器上启用调试级别:打开
/etc/ipa/server.conf
文件,并将debug=True
选项添加到[global]
部分。 - 重启
httpd
服务:# systemctl restart httpd.service
- 再次运行失败的命令。
- 查看服务器上的
httpd
错误日志:/var/log/httpd/error_log
。
使用-vvv
选项运行 命令,以显示 HTTP 请求和响应。 - 查看 Apache 访问日志:
/var/log/httpd/access_log
。查看证书系统组件的日志:/var/log/pki/pki-ca-spawn.time_of_installation.log
/var/log/pki/pki-tomcat/ca/debug
/var/log/pki/pki-tomcat/ca/system
/var/log/pki/pki-tomcat/ca/selftests.log
- 使用 job journalctl -u pki-tomcatd@pki-tomcat.service 命令查看日志
日志
。
- 查看目录服务器访问日志:
/var/log/dirsrv/slapd-IPA-EXAMPLE-COM/access
。
图 A.1. 执行 ipa cert-show 命令的构架
相关信息
- 有关各种身份管理日志文件的描述,请参阅 第 C.2 节 “身份管理日志文件和目录”。