A.5. 检查服务失败为何启动
- 查看无法启动的服务的日志。请参阅 第 C.2 节 “身份管理日志文件和目录”。例如,目录服务器的日志位于
/var/log/dirsrv/slapd-IPA-EXAMPLE-COM/errors
。 - 确保在其上运行该服务的服务器具有完全限定域名(FQDN)。请参阅 “验证服务器主机名”一节。
- 如果
/etc/hosts
文件包含运行该服务的服务器的条目,请确保首先列出完全限定域名。另请参阅 “/etc/hosts
文件”一节。 - 请确定您满足 第 2.1.5 节 “主机名和 DNS 配置” 中的其他条件。
- 确定 keytab 中含有哪些键,用于服务验证。例如,对于
dirsrv
服务票据:# klist -kt /etc/dirsrv/ds.keytab Keytab name: FILE:/etc/dirsrv/ds.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM 2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM [... output truncated ...]
- 确保显示的主体与系统的 FQDN 匹配。
- 确保上面显示的服务 keytab 中显示的密钥版本(KVNO)与服务器 key 选项卡中的 KVNO 相匹配。显示服务器 keytab:
$ kinit admin $ kvno ldap/server.example.com@EXAMPLE.COM
- 验证客户端上的正向(A、AAAA 或两者)和反向记录是否与显示的系统名称和服务主体匹配。
- 验证客户端上的正向(A、AAAA 或两者)和反向记录是否正确。
- 确保客户端和服务器上的系统时间差异最多为 5 分钟。
- 在 IdM 管理服务器证书过期后,服务可能无法启动。检查是否是问题单中的原因:
- 使用 getcert list 命令列出由
certmonger
工具跟踪的所有证书。 - 在输出中,找到 IdM 管理证书:
ldap
和httpd
服务器证书。 - 检查标记为
status
的字段并过期
。# getcert list Number of certificates and requests being tracked: 8. [... output truncated ...] Request ID '20170421124617': status: MONITORING stuck: no key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IPA-EXAMPLE-COM/pwdfile.txt' certificate: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB' CA: IPA issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM expires: 2019-04-22 12:46:17 UTC [... output truncated ...] Request ID '20170421130535': status: MONITORING stuck: no key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt' certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB' CA: IPA issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM expires: 2019-04-22 13:05:35 UTC [... output truncated ...]
如果您需要启动该服务,即使证书已过期,请参阅 第 26.5 节 “允许 IdM 使用过期的证书启动”。