Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

5.3. カスタムの起動可能な ISO を使用して eDNS が有効な RHEL をインストールする

eDNS の enforce ポリシーを使用して RHEL をインストールするためのカスタムの起動可能な ISO を作成します。このポリシーにより、インストール中およびインストール後に、すべての DNS クエリーがプライベートかつセキュアな状態に保たれます。カスタムの CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate セクションを使用してバンドルをインストールする必要があります。その後、スクリプトでこのキックスタートファイルを参照して、厳格な DoT ポリシーを適用するためのカーネル引数を含む新しい ISO をビルドします。環境で暗号化されていない DNS へのフォールバックが許可されている場合は、標準の RHEL インストールを実行し、その後で eDNS を設定できます。

前提条件

  • sudo または root ユーザーアクセス権によって提供される管理者特権。これは先頭にコマンドプロンプト # が付いているコマンドに必要です。sudo アクセス権を設定する方法については、非特権ユーザーが特定のコマンドを実行できるようにする を参照してください。
  • Product Downloads ページから最小インストール用の Boot ISO イメージをダウンロードした。
  • %certificate セクションを含むキックスタートファイルがある (カスタム CA バンドルが必要な場合)。
  • lorax パッケージがインストールされている。

手順

  1. オプション: %certificate セクションを含むキックスタートファイルを作成します。証明書が tls-ca-bundle.pem という名前のファイルに保存されていることを確認します。 

    %certificate --dir /etc/pki/dns/extracted/pem/ --filename tls-ca-bundle.pem
-----BEGIN CERTIFICATE-----
<Base64-encoded_certificate_content>
-----END CERTIFICATE-----
%end
    Copy to Clipboard Toggle word wrap

  2. キックスタートファイルとカーネル引数を ISO に追加します。

    次のスクリプト例は、eDNS が有効なカスタムの起動可能な ISO を作成する方法を示しています。このプロセスを自動化するには、スクリプトファイルを作成する必要があります。 

    #!/bin/bash

set -ex

KERNELARGS=""

# Enable network
KERNELARGS+="ip=dhcp "

# Set DoT DNS server
KERNELARGS+="rd.net.dns=dns+tls://_<server_ip>_#_<dns_server_hostname>_ "

# Set to 'exclusive' to disable fallback to unencrypted DNS. Other values: 'backup', 'prefer'.
KERNELARGS+="rd.net.dns-resolve-mode=exclusive "

# Set the dnsconfd plugin for NetworkManager
KERNELARGS+="rd.net.dns-backend=dnsconfd "

# Remove any existing ISO to prevent conflicts with the new build
rm -f _<output_iso_filename>_

# Create a new bootable ISO with the Kickstart config file and kernel arguments
mkksiso --ks _<kickstart_file>_ --cmdline "$KERNELARGS" _<input_iso_filename>_ _<output_iso_filename>_
    Copy to Clipboard Toggle word wrap

  3. スクリプトを実行します。 

    sh <script_filename>
    Copy to Clipboard Toggle word wrap
  4. カスタマイズした ISO ファイルを使用して RHEL をインストールします。

検証

  • eDNS 設定を確認します。 

    $ dnsconfd status
    Copy to Clipboard Toggle word wrap

    想定される出力: 

    Running cache service:
unbound
Resolving mode: exclusive
Config present in service:
{
    ".": [
        "dns+tls://198.51.100.143#dot.dns.example.com"
    ]
}
State of Dnsconfd:
RUNNING
Info about servers: [
    {
        "address": "198.51.100.143",
        "port": 853,
        "name": "dot.dns.example.com",
        "routing_domains": [
            "."
        ],
        "search_domains": [],
        "interface": null,
        "protocol": "dns+tls",
        "dnssec": true,
        "networks": [],
        "firewall_zone": null
    }
]
    Copy to Clipboard Toggle word wrap

  • nslookup を使用して DNS サーバーが応答することを確認します。 

    $ nslookup <domain_name>
    Copy to Clipboard Toggle word wrap

    <domain_name> は、照会するドメインに置き換えます。

トラブルシューティング

  • unbound で詳細なロギングを有効にします。 

    # unbound-control verbosity 5
    Copy to Clipboard Toggle word wrap

  • 関連するサービスのログを確認します。 

    $ journalctl -xe -u <service_name>
    Copy to Clipboard Toggle word wrap

    <service_name> は、NetworkManagerdnsconfd、または unbound に置き換えます。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat