1.5. Exigences en matière de nom d'hôte et de DNS pour l'IdM
Cette section énumère les exigences en matière de nom d'hôte et de DNS pour les systèmes serveur et réplica. Elle indique également comment vérifier que les systèmes répondent à ces exigences.
Les exigences de cette section s'appliquent à tous les serveurs de gestion des identités (IdM), qu'ils soient ou non dotés d'un DNS intégré.
Les enregistrements DNS sont essentiels pour presque toutes les fonctions du domaine IdM, y compris l'exécution des services d'annuaire LDAP, Kerberos et l'intégration d'Active Directory. Soyez extrêmement prudent et assurez-vous que
- Vous disposez d'un service DNS testé et fonctionnel
- Le service est correctement configuré
Cette exigence s'applique aux serveurs IdM avec and sans DNS intégré.
- Vérifier le nom d'hôte du serveur
Le nom d'hôte doit être un nom de domaine entièrement qualifié, tel que
server.idm.example.com
.ImportantN'utilisez pas de noms de domaine à étiquette unique, par exemple
.company
: le domaine IdM doit être composé d'un ou plusieurs sous-domaines et d'un domaine de premier niveau, par exempleexample.com
oucompany.example.com
.Le nom de domaine pleinement qualifié doit remplir les conditions suivantes :
- Il s'agit d'un nom DNS valide, ce qui signifie que seuls les chiffres, les caractères alphabétiques et les traits d'union (-) sont autorisés. D'autres caractères, tels que les underscores (_), dans le nom d'hôte provoquent des échecs DNS.
- Il s'agit de lettres minuscules. Aucune majuscule n'est autorisée.
-
Elle ne se résout pas à l'adresse de bouclage. Il doit être résolu à l'adresse IP publique du système, et non à
127.0.0.1
.
Pour vérifier le nom d'hôte, utilisez l'utilitaire
hostname
sur le système où vous souhaitez effectuer l'installation :# hostname server.idm.example.com
La sortie de
hostname
ne doit pas êtrelocalhost
oulocalhost6
.- Vérifier la configuration du DNS en aval et en amont
Obtenir l'adresse IP du serveur.
La commande
ip addr show
affiche les adresses IPv4 et IPv6. Dans l'exemple suivant, l'adresse IPv6 pertinente est2001:DB8::1111
car sa portée est globale :[root@server ~]# ip addr show ... 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0 valid_lft 106694sec preferred_lft 106694sec inet6 2001:DB8::1111/32 scope global dynamic valid_lft 2591521sec preferred_lft 604321sec inet6 fe80::56ee:75ff:fe2b:def6/64 scope link valid_lft forever preferred_lft forever ...
Vérifiez la configuration du DNS de transmission à l'aide de l'utilitaire
dig
.Exécutez la commande
dig short server.idm.example.com A
. L'adresse IPv4 renvoyée doit correspondre à l'adresse IP renvoyée parip addr show
:[root@server ~]# dig +short server.idm.example.com A 192.0.2.1
Exécutez la commande
dig short server.idm.example.com AAAA
. Si elle renvoie une adresse, elle doit correspondre à l'adresse IPv6 renvoyée parip addr show
:[root@server ~]# dig +short server.idm.example.com AAAA 2001:DB8::1111
NoteSi
dig
ne renvoie aucun résultat pour l'enregistrement AAAA, cela ne signifie pas que la configuration est incorrecte. L'absence de résultat signifie simplement qu'aucune adresse IPv6 n'est configurée dans le DNS pour le système. Si vous n'avez pas l'intention d'utiliser le protocole IPv6 dans votre réseau, vous pouvez poursuivre l'installation dans cette situation.
Vérifiez la configuration du DNS inverse (enregistrements PTR). Utilisez l'utilitaire
dig
et ajoutez l'adresse IP.Si les commandes ci-dessous affichent un nom d'hôte différent ou aucun nom d'hôte, la configuration du reverse DNS est incorrecte.
Exécutez la commande
dig short -x IPv4_address
. La sortie doit afficher le nom d'hôte du serveur. Par exemple :[root@server ~]# dig +short -x 192.0.2.1 server.idm.example.com
Si la commande
dig short -x server.idm.example.com AAAA
de l'étape précédente a renvoyé une adresse IPv6, utilisezdig
pour interroger également l'adresse IPv6. La sortie doit afficher le nom d'hôte du serveur. Par exemple :[root@server ~]# dig +short -x 2001:DB8::1111 server.idm.example.com
NoteSi l'étape précédente
dig short server.idm.example.com AAAA
à l'étape précédente n'a pas affiché d'adresse IPv6, l'interrogation de l'enregistrement AAAA n'aboutit à rien. Dans ce cas, il s'agit d'un comportement normal qui n'indique pas une configuration incorrecte.AvertissementSi une recherche DNS inversée (enregistrement PTR) renvoie plusieurs noms d'hôte,
httpd
et d'autres logiciels associés à IdM peuvent avoir un comportement imprévisible. Red Hat recommande fortement de configurer un seul enregistrement PTR par IP.
- Vérifier la conformité aux normes des transitaires DNS (requis uniquement pour le DNS intégré)
Assurez-vous que tous les transitaires DNS que vous souhaitez utiliser avec le serveur DNS IdM sont conformes aux normes Extension Mechanisms for DNS (EDNS0) et DNS Security Extensions (DNSSEC). Pour ce faire, inspectez la sortie de la commande suivante pour chaque transitaire séparément :
$ dig dnssec @IP_address_of_the_DNS_forwarder . SOA
La sortie attendue affichée par la commande contient les informations suivantes :
-
statut :
NOERROR
-
drapeaux :
ra
-
Drapeaux EDNS :
do
-
L'enregistrement
RRSIG
doit être présent dans la sectionANSWER
Si l'un de ces éléments est absent de la sortie, consultez la documentation de votre transitaire DNS et vérifiez que EDNS0 et DNSSEC sont pris en charge et activés. Dans les dernières versions du serveur BIND, l'option
dnssec-enable yes;
doit être définie dans le fichier/etc/named.conf
.Exemple de résultat escompté produit par
dig
:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; ANSWER SECTION: . 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400 . 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
-
statut :
- Vérifier le fichier
/etc/hosts
Vérifiez que le fichier
/etc/hosts
remplit l'une des conditions suivantes :- Le fichier ne contient pas d'entrée pour l'hôte. Il répertorie uniquement les entrées IPv4 et IPv6 localhost de l'hôte.
Le fichier contient une entrée pour l'hôte et remplit toutes les conditions suivantes :
- Les deux premières entrées sont les entrées IPv4 et IPv6 localhost.
- L'entrée suivante spécifie l'adresse IPv4 et le nom d'hôte du serveur IdM.
-
Le site
FQDN
du serveur IdM précède le nom court du serveur IdM. - Le nom d'hôte du serveur IdM ne fait pas partie de l'entrée localhost.
Voici un exemple de fichier
/etc/hosts
correctement configuré :
127.0.0.1 localhost localhost.localdomain \ localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain \ localhost6 localhost6.localdomain6 192.0.2.1 server.idm.example.com server 2001:DB8::1111 server.idm.example.com server