搜索

A.5. 检查服务失败为何启动

download PDF
  1. 查看无法启动的服务的日志。请参阅 第 C.2 节 “身份管理日志文件和目录”
    例如,目录服务器的日志位于 /var/log/dirsrv/slapd-IPA-EXAMPLE-COM/errors
  2. 确保在其上运行该服务的服务器具有完全限定域名(FQDN)。请参阅 “验证服务器主机名”一节
  3. 如果 /etc/hosts 文件包含运行该服务的服务器的条目,请确保首先列出完全限定域名。另请参阅 /etc/hosts 文件”一节
  4. 请确定您满足 第 2.1.5 节 “主机名和 DNS 配置” 中的其他条件。
  5. 确定 keytab 中含有哪些键,用于服务验证。例如,对于 dirsrv 服务票据:
    # klist -kt /etc/dirsrv/ds.keytab
    Keytab name: FILE:/etc/dirsrv/ds.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
       2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
       [... output truncated ...]
    1. 确保显示的主体与系统的 FQDN 匹配。
    2. 确保上面显示的服务 keytab 中显示的密钥版本(KVNO)与服务器 key 选项卡中的 KVNO 相匹配。显示服务器 keytab:
      $ kinit admin
      $ kvno ldap/server.example.com@EXAMPLE.COM
    3. 验证客户端上的正向(A、AAAA 或两者)和反向记录是否与显示的系统名称和服务主体匹配。
  6. 验证客户端上的正向(A、AAAA 或两者)和反向记录是否正确。
  7. 确保客户端和服务器上的系统时间差异最多为 5 分钟。
  8. 在 IdM 管理服务器证书过期后,服务可能无法启动。检查是否是问题单中的原因:
    1. 使用 getcert list 命令列出由 certmonger 工具跟踪的所有证书。
    2. 在输出中,找到 IdM 管理证书: ldaphttpd 服务器证书。
    3. 检查标记为 status 的字段并 过期
      # getcert list
      Number of certificates and requests being tracked: 8.
      [... output truncated ...]
      Request ID '20170421124617':
      	status: MONITORING
      	stuck: no
      	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IPA-EXAMPLE-COM/pwdfile.txt'
      	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB'
      	CA: IPA
      	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
      	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
      	expires: 2019-04-22 12:46:17 UTC
      [... output truncated ...]
      Request ID '20170421130535':
      	status: MONITORING
      	stuck: no
      	key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'
      	certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'
      	CA: IPA
      	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
      	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
      	expires: 2019-04-22 13:05:35 UTC
      [... output truncated ...]
    如果您需要启动该服务,即使证书已过期,请参阅 第 26.5 节 “允许 IdM 使用过期的证书启动”
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.