28.2. eDNS を使用するように設定された IdM サーバーのインストール

手順

1. システム firewall に dns-over-tls サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。

   # firewall-cmd --add-service=dns-over-tls

2. オプション: 外部認証局が発行した DoT 用のカスタム PEM 形式の証明書とキーを使用するには、次のファイルを作成します。

   $ openssl req \
     -newkey rsa:2048 \
     -nodes \
     -keyout /etc/pki/tls/certs/privkey.pem \
     -x509 \
     -days 36500 \
     -out /etc/pki/tls/certs/certificate.pem \
     -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
     chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

3. 統合 DNS を備えた IdM サーバーをインストールします。

   注記

   DoT を厳密に必要としない場合は、--dns-policy オプションを省略できます。その場合、インストーラーはデフォルトの relaxed ポリシーを使用します。

   • 外部で発行された鍵と証明書を使用して IdM サーバーをインストールするには、証明書と鍵のパスを指定します。

     # ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

   • 統合 IdM CA を使用して IdM サーバーをインストールするには、次のコマンドを実行します。

     # ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

トラブルシューティング

1. unbound サービスの詳細ロギングを有効にします。

   # unbound-control verbosity 3

2. 更新された設定を適用するには、unbound サービスを再起動します。

   # systemctl restart unbound

3. unbound サービスのリアルタイムログを監視します。

   $ journalctl -u unbound -f