7.5. Vérification de la configuration DNS
Avant de configurer la confiance, vérifiez que les serveurs Identity Management (IdM) et Active Directory (AD) peuvent se résoudre et se résoudre mutuellement.
Conditions préalables
- Vous devez être connecté avec les permissions sudo.
Procédure
Lancez une requête DNS pour les enregistrements de service Kerberos over UDP et LDAP over TCP.
[admin@server ~]# dig +short -t SRV _kerberos._udp.idm.example.com. 0 100 88 server.idm.example.com. [admin@server ~]# dig +short -t SRV _ldap._tcp.idm.example.com. 0 100 389 server.idm.example.com.
Les commandes sont censées répertorier tous les serveurs IdM.
Lancer une requête DNS pour l'enregistrement TXT avec le nom du domaine Kerberos de l'IdM. La valeur obtenue devrait correspondre au domaine Kerberos spécifié lors de l'installation d'IdM.
[admin@server ~]# dig +short -t TXT _kerberos.idm.example.com. "IDM.EXAMPLE.COM"
Si les étapes précédentes n'ont pas permis d'obtenir tous les enregistrements attendus, mettez à jour la configuration DNS avec les enregistrements manquants :
Si votre environnement IdM utilise un serveur DNS intégré, entrez la commande
ipa dns-update-system-records
sans aucune option pour mettre à jour les enregistrements de votre système :[admin@server ~]$ ipa dns-update-system-records
Si votre environnement IdM n'utilise pas de serveur DNS intégré :
Sur le serveur IdM, exporter les enregistrements DNS IdM dans un fichier :
[admin@server ~]$ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate
La commande crée un fichier nommé dns_records_file.nsupdate avec les enregistrements DNS IdM pertinents.
-
Soumettez une demande de mise à jour DNS à votre serveur DNS à l'aide de l'utilitaire
nsupdate
et du fichier dns_records_file.nsupdate. Pour plus d'informations, voir Mise à jour des enregistrements DNS externes à l'aide de nsupdate dans la documentation RHEL 7. Vous pouvez également vous référer à la documentation de votre serveur DNS pour l'ajout d'enregistrements DNS.
Vérifiez que l'IdM est en mesure de résoudre les enregistrements de service pour AD à l'aide d'une commande qui exécute une requête DNS pour les enregistrements de service Kerberos et LDAP sur TCP :
[admin@server ~]# dig +short -t SRV _kerberos._tcp.dc._msdcs.ad.example.com. 0 100 88 addc1.ad.example.com. [admin@server ~]# dig +short -t SRV _ldap._tcp.dc._msdcs.ad.example.com. 0 100 389 addc1.ad.example.com.