Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

1.5. Exigences en matière de nom d'hôte et de DNS pour l'IdM

download PDF

Cette section énumère les exigences en matière de nom d'hôte et de DNS pour les systèmes serveur et réplica. Elle indique également comment vérifier que les systèmes répondent à ces exigences.

Les exigences de cette section s'appliquent à tous les serveurs de gestion des identités (IdM), qu'ils soient ou non dotés d'un DNS intégré.

Avertissement

Les enregistrements DNS sont essentiels pour presque toutes les fonctions du domaine IdM, y compris l'exécution des services d'annuaire LDAP, Kerberos et l'intégration d'Active Directory. Soyez extrêmement prudent et assurez-vous que

  • Vous disposez d'un service DNS testé et fonctionnel
  • Le service est correctement configuré

Cette exigence s'applique aux serveurs IdM avec and sans DNS intégré.

Vérifier le nom d'hôte du serveur

Le nom d'hôte doit être un nom de domaine entièrement qualifié, tel que server.idm.example.com.

Important

N'utilisez pas de noms de domaine à étiquette unique, par exemple .company: le domaine IdM doit être composé d'un ou plusieurs sous-domaines et d'un domaine de premier niveau, par exemple example.com ou company.example.com.

Le nom de domaine pleinement qualifié doit remplir les conditions suivantes :

  • Il s'agit d'un nom DNS valide, ce qui signifie que seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. D'autres caractères, tels que les underscores (_), dans le nom d'hôte provoquent des échecs DNS.
  • Il s'agit de lettres minuscules. Aucune majuscule n'est autorisée.
  • Elle ne se résout pas à l'adresse de bouclage. Il doit être résolu à l'adresse IP publique du système, et non à 127.0.0.1.

Pour vérifier le nom d'hôte, utilisez l'utilitaire hostname sur le système où vous souhaitez effectuer l'installation : 

# hostname
server.idm.example.com

La sortie de hostname ne doit pas être localhost ou localhost6.

Vérifier la configuration du DNS en aval et en amont

  1. Obtenir l'adresse IP du serveur.

    1. La commande ip addr show affiche les adresses IPv4 et IPv6. Dans l'exemple suivant, l'adresse IPv6 pertinente est 2001:DB8::1111 car sa portée est globale : 

      [root@server ~]# ip addr show
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
	link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff
	inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0
		valid_lft 106694sec preferred_lft 106694sec
	inet6 2001:DB8::1111/32 scope global dynamic
 		valid_lft 2591521sec preferred_lft 604321sec
	inet6 fe80::56ee:75ff:fe2b:def6/64 scope link
	       valid_lft forever preferred_lft forever
...

  2. Vérifiez la configuration du DNS de transmission à l'aide de l'utilitaire dig.

    1. Exécutez la commande dig short server.idm.example.com A. L'adresse IPv4 renvoyée doit correspondre à l'adresse IP renvoyée par ip addr show: 

      [root@server ~]# dig +short server.idm.example.com A
192.0.2.1

    2. Exécutez la commande dig short server.idm.example.com AAAA. Si elle renvoie une adresse, elle doit correspondre à l'adresse IPv6 renvoyée par ip addr show: 

      [root@server ~]# dig +short server.idm.example.com AAAA
2001:DB8::1111
      Note

      Si dig ne renvoie aucun résultat pour l'enregistrement AAAA, cela ne signifie pas que la configuration est incorrecte. L'absence de résultat signifie simplement qu'aucune adresse IPv6 n'est configurée dans le DNS pour le système. Si vous n'avez pas l'intention d'utiliser le protocole IPv6 dans votre réseau, vous pouvez poursuivre l'installation dans cette situation.

  3. Vérifiez la configuration du DNS inverse (enregistrements PTR). Utilisez l'utilitaire dig et ajoutez l'adresse IP.

    Si les commandes ci-dessous affichent un nom d'hôte différent ou aucun nom d'hôte, la configuration du reverse DNS est incorrecte.

    1. Exécutez la commande dig short -x IPv4_address. La sortie doit afficher le nom d'hôte du serveur. Par exemple : 

      [root@server ~]# dig +short -x 192.0.2.1
server.idm.example.com

    2. Si la commande dig short -x server.idm.example.com AAAA de l'étape précédente a renvoyé une adresse IPv6, utilisez dig pour interroger également l'adresse IPv6. La sortie doit afficher le nom d'hôte du serveur. Par exemple : 

      [root@server ~]# dig +short -x 2001:DB8::1111
server.idm.example.com
      Note

      Si l'étape précédente dig short server.idm.example.com AAAA à l'étape précédente n'a pas affiché d'adresse IPv6, l'interrogation de l'enregistrement AAAA n'aboutit à rien. Dans ce cas, il s'agit d'un comportement normal qui n'indique pas une configuration incorrecte.

      Avertissement

      Si une recherche DNS inversée (enregistrement PTR) renvoie plusieurs noms d'hôte, httpd et d'autres logiciels associés à IdM peuvent avoir un comportement imprévisible. Red Hat recommande fortement de configurer un seul enregistrement PTR par IP.

Vérifier la conformité aux normes des transitaires DNS (requis uniquement pour le DNS intégré)

Assurez-vous que tous les transitaires DNS que vous souhaitez utiliser avec le serveur DNS IdM sont conformes aux normes Extension Mechanisms for DNS (EDNS0) et DNS Security Extensions (DNSSEC). Pour ce faire, inspectez la sortie de la commande suivante pour chaque transitaire séparément : 

$ dig dnssec @IP_address_of_the_DNS_forwarder . SOA

La sortie attendue affichée par la commande contient les informations suivantes :

  • statut : NOERROR
  • drapeaux : ra
  • Drapeaux EDNS : do
  • L'enregistrement RRSIG doit être présent dans la section ANSWER

Si l'un de ces éléments est absent de la sortie, consultez la documentation de votre transitaire DNS et vérifiez que EDNS0 et DNSSEC sont pris en charge et activés. Dans les dernières versions du serveur BIND, l'option dnssec-enable yes; doit être définie dans le fichier /etc/named.conf.

Exemple de résultat escompté produit par dig: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
Vérifier le fichier /etc/hosts

Vérifiez que le fichier /etc/hosts remplit l'une des conditions suivantes :

  • Le fichier ne contient pas d'entrée pour l'hôte. Il répertorie uniquement les entrées IPv4 et IPv6 localhost de l'hôte.

  • Le fichier contient une entrée pour l'hôte et remplit toutes les conditions suivantes :

    • Les deux premières entrées sont les entrées IPv4 et IPv6 localhost.
    • L'entrée suivante spécifie l'adresse IPv4 et le nom d'hôte du serveur IdM.
    • Le site FQDN du serveur IdM précède le nom court du serveur IdM.
    • Le nom d'hôte du serveur IdM ne fait pas partie de l'entrée localhost.

    Voici un exemple de fichier /etc/hosts correctement configuré : 

127.0.0.1   localhost localhost.localdomain \
localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain \
localhost6 localhost6.localdomain6
192.0.2.1	server.idm.example.com	server
2001:DB8::1111	server.idm.example.com	server
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.