10.3. 收集尝试建立 AD 信任的调试日志

流程

1. 要为 IdM 服务器启用调试，请创建具有以下内容的文件 /etc/ipa/server.conf。

   [global]
   debug=True

   Copy to Clipboard Toggle word wrap

2. 重启 httpd 服务以载入调试配置。

   [root@trust_controller ~]# systemctl restart httpd

   Copy to Clipboard Toggle word wrap

3. 停止 smb 和 winbind 服务。

   [root@trust_controller ~]# systemctl stop smb winbind

   Copy to Clipboard Toggle word wrap

4. 为 smb 和 winbind 服务设置调试日志级别。

   [root@trust_controller ~]# net conf setparm global 'log level' 100

   Copy to Clipboard Toggle word wrap

5. 要为 IdM 框架使用的 Samba 客户端代码启用调试日志记录，请编辑 /usr/share/ipa/smb.conf.empty 配置文件使其包含以下内容。

       [global]
       log level = 100

   Copy to Clipboard Toggle word wrap

6. 删除以前的 Samba 日志。

   [root@trust_controller ~]# rm /var/log/samba/log.*

   Copy to Clipboard Toggle word wrap

7. 启动 smb 和 winbind 服务。

   [root@trust_controller ~]# systemctl start smb winbind

   Copy to Clipboard Toggle word wrap

8. 在您试图建立启用了详细模式的信任时，请打印时间戳，。

   [root@trust_controller ~]# date; ipa -vvv trust-add --type=ad ad.example.com

   Copy to Clipboard Toggle word wrap

9. 查看以下错误日志文件，以了解有关失败请求的信息：

   1. /var/log/httpd/error_log
   2. /var/log/samba/log.*

10. 禁用调试。

    [root@trust_controller ~]# mv /etc/ipa/server.conf /etc/ipa/server.conf.backup
    [root@trust_controller ~]# systemctl restart httpd
    [root@trust_controller ~]# systemctl stop smb winbind
    [root@trust_controller ~]# net conf setparm global 'log level' 0
    [root@trust_controller ~]# mv /usr/share/ipa/smb.conf.empty /usr/share/ipa/smb.conf.empty.backup
    [root@trust_controller ~]# systemctl start smb winbind

    Copy to Clipboard Toggle word wrap

11. 可选：如果您无法确定身份验证问题的原因：

    1. 收集和归档您最近生成的日志文件。

       [root@trust_controller ~]# tar -cvf debugging-trust.tar /var/log/httpd/error_log /var/log/samba/log.*

       Copy to Clipboard Toggle word wrap
    2. 创建一个红帽技术支持问题单，并提供尝试的时间戳和调试日志。