29.2. eDNS を使用するように設定された IdM サーバーのインストール
ipa-server-install
ユーティリティーを使用して非対話型インストールを実行することで、DoT が有効になっている IdM サーバーをインストールできます。この手順では、統合 DNS サービスを使用して、enforced
ポリシーで DoT を設定する方法を説明します。relaxed
ポリシーが必要な場合は、IdM サーバーが自動的に検出するため、DoT 専用のクライアントとレプリカを事前に設定するステップをスキップできます。
統合された IdM 認証局 (CA) が発行した証明書を使用することも、外部 CA が発行したカスタム証明書を提供することもできます。証明書を提供しない場合、IdM CA はインストール中に自動的に DoT 証明書を発行します。
前提条件
- IdM サーバーをインストールするためのシステムの準備 で概説されているステップを確認した。
-
enforced
DoT の場合は、DoT のみを使用するようにクライアントシステムとレプリカシステムを設定する のステップを完了した。 次のパッケージがインストールされている。
-
ipa-server
-
ipa-server-dns
-
ipa-server-encrypted-dns
-
ipa-client-encrypted-dns
-
手順
システム
firewall
にdns-over-tls
サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。firewall-cmd --add-service=dns-over-tls
# firewall-cmd --add-service=dns-over-tls
Copy to Clipboard Copied! Toggle word wrap Toggle overflow オプション: 外部認証局が発行した DoT 用のカスタム PEM 形式の証明書とキーを使用するには、次のファイルを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 統合 DNS を備えた IdM サーバーをインストールします。
DoT を厳密に必要としない場合は、--dns-policy
オプションを省略できます。その場合、インストーラーはデフォルトの relaxed
ポリシーを使用します。
外部で発行されたキーと証明書を使用して IdM サーバーをインストールするには、証明書とキーのパスを指定します。
ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 統合 IdM CA を使用して IdM サーバーをインストールするには、次のコマンドを実行します。
ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
トラブルシューティング
unbound
サービスの詳細ロギングを有効にします。unbound-control verbosity 3
# unbound-control verbosity 3
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された設定を適用するには、
unbound
サービスを再起動します。systemctl restart unbound
# systemctl restart unbound
Copy to Clipboard Copied! Toggle word wrap Toggle overflow unbound
サービスのリアルタイムログを監視します。journalctl -u unbound -f
$ journalctl -u unbound -f
Copy to Clipboard Copied! Toggle word wrap Toggle overflow