29.2. eDNS を使用するように設定された IdM サーバーのインストール


ipa-server-install ユーティリティーを使用して非対話型インストールを実行することで、DoT が有効になっている IdM サーバーをインストールできます。この手順では、統合 DNS サービスを使用して、enforced ポリシーで DoT を設定する方法を説明します。relaxed ポリシーが必要な場合は、IdM サーバーが自動的に検出するため、DoT 専用のクライアントとレプリカを事前に設定するステップをスキップできます。

統合された IdM 認証局 (CA) が発行した証明書を使用することも、外部 CA が発行したカスタム証明書を提供することもできます。証明書を提供しない場合、IdM CA はインストール中に自動的に DoT 証明書を発行します。

前提条件

手順

  1. システム firewalldns-over-tls サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。

    # firewall-cmd --add-service=dns-over-tls
    Copy to Clipboard Toggle word wrap
  2. オプション: 外部認証局が発行した DoT 用のカスタム PEM 形式の証明書とキーを使用するには、次のファイルを作成します。

    $ openssl req \
      -newkey rsa:2048 \
      -nodes \
      -keyout /etc/pki/tls/certs/privkey.pem \
      -x509 \
      -days 36500 \
      -out /etc/pki/tls/certs/certificate.pem \
      -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
      chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem
    Copy to Clipboard Toggle word wrap
  3. 統合 DNS を備えた IdM サーバーをインストールします。
注記

DoT を厳密に必要としない場合は、--dns-policy オプションを省略できます。その場合、インストーラーはデフォルトの relaxed ポリシーを使用します。

  • 外部で発行されたキーと証明書を使用して IdM サーバーをインストールするには、証明書とキーのパスを指定します。

    # ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
    Copy to Clipboard Toggle word wrap
  • 統合 IdM CA を使用して IdM サーバーをインストールするには、次のコマンドを実行します。

    # ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
    Copy to Clipboard Toggle word wrap

トラブルシューティング

  1. unbound サービスの詳細ロギングを有効にします。

    # unbound-control verbosity 3
    Copy to Clipboard Toggle word wrap
  2. 更新された設定を適用するには、unbound サービスを再起動します。

    # systemctl restart unbound
    Copy to Clipboard Toggle word wrap
  3. unbound サービスのリアルタイムログを監視します。

    $ journalctl -u unbound -f
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat