搜索

26.5. 允许 IdM 使用过期的证书启动

download PDF
IdM 管理服务器证书过期后,大多数 IdM 服务都无法访问。您可以配置底层 Apache 和 LDAP 服务,以允许对服务的 SSL 访问,即使证书已过期。
如果您允许使用过期证书进行有限访问:
  • Apache、Kerberos、DNS 和 LDAP 服务将继续工作。这些服务处于活动状态后,用户可以登录 IdM 域。
  • 需要 SSL 访问的客户端服务仍将失败。例如,sudo 将失败,因为它需要在 IdM 客户端上需要 SSSD,SSSD 需要 SSL 来联系 IdM。
重要
此流程仅作临时解决方案。尽快续订所需的证书,然后恢复上述更改。
  1. 配置 Apache 服务器的 mod_nss 模块,使其不强制执行有效的证书。
    1. 打开 /etc/httpd/conf.d/nss.conf 文件。
    2. NSSEnforceValidCerts 参数设置为 off
      NSSEnforceValidCerts off
  2. 重新启动 Apache.
    # systemctl restart httpd.service
  3. 确保为 LDAP 目录服务器禁用了有效检查。要做到这一点,请验证 nsslapd-validate-cert 属性是否已设置为 warn
    # ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert
    
    dn: cn=config
    nsslapd-validate-cert: warn
    如果属性没有设为 warn,请修改它:
    # ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com
    
    dn: cn=config
    changetype: modify
    replace: nsslapd-validate-cert
    nsslapd-validate-cert: warn
  4. 重新启动目录服务器。
    # systemctl restart dirsrv.target
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.