26.5. 允许 IdM 使用过期的证书启动
IdM 管理服务器证书过期后,大多数 IdM 服务都无法访问。您可以配置底层 Apache 和 LDAP 服务,以允许对服务的 SSL 访问,即使证书已过期。
如果您允许使用过期证书进行有限访问:
- Apache、Kerberos、DNS 和 LDAP 服务将继续工作。这些服务处于活动状态后,用户可以登录 IdM 域。
- 需要 SSL 访问的客户端服务仍将失败。例如,
sudo
将失败,因为它需要在 IdM 客户端上需要 SSSD,SSSD 需要 SSL 来联系 IdM。
重要
此流程仅作临时解决方案。尽快续订所需的证书,然后恢复上述更改。
- 配置 Apache 服务器的
mod_nss
模块,使其不强制执行有效的证书。- 打开
/etc/httpd/conf.d/nss.conf
文件。 - 将
NSSEnforceValidCerts
参数设置为off
:NSSEnforceValidCerts off
- 重新启动 Apache.
# systemctl restart httpd.service
- 确保为 LDAP 目录服务器禁用了有效检查。要做到这一点,请验证
nsslapd-validate-cert
属性是否已设置为warn
:# ldapsearch -h server.example.com -p 389 -D "cn=directory manager" -w secret -LLL -b cn=config -s base "(objectclass=*)" nsslapd-validate-cert dn: cn=config nsslapd-validate-cert: warn
如果属性没有设为warn
,请修改它:# ldapmodify -D "cn=directory manager" -w secret -p 389 -h server.example.com dn: cn=config changetype: modify replace: nsslapd-validate-cert nsslapd-validate-cert: warn
- 重新启动目录服务器。
# systemctl restart dirsrv.target