ホーム
製品
Red Hat Enterprise Linux
10
Identity Management のインストール
29.2. eDNS を使用するように設定された IdM サーバーのインストール

29.2. eDNS を使用するように設定された IdM サーバーのインストール

ipa-server-install ユーティリティーを使用して非対話型インストールを実行することで、DoT が有効になっている IdM サーバーをインストールできます。この手順では、統合 DNS サービスを使用して、enforced ポリシーで DoT を設定する方法を説明します。relaxed ポリシーが必要な場合は、IdM サーバーが自動的に検出するため、DoT 専用のクライアントとレプリカを事前に設定するステップをスキップできます。

統合された IdM 認証局 (CA) が発行した証明書を使用することも、外部 CA が発行したカスタム証明書を提供することもできます。証明書を提供しない場合、IdM CA はインストール中に自動的に DoT 証明書を発行します。

前提条件

IdM サーバーをインストールするためのシステムの準備で概説されているステップを確認した。
enforced DoT の場合は、DoT のみを使用するようにクライアントシステムとレプリカシステムを設定するのステップを完了した。
次のパッケージがインストールされている。
- ipa-server
- ipa-server-dns
- ipa-server-encrypted-dns
- ipa-client-encrypted-dns

手順

システム firewall に dns-over-tls サービスを追加して、DoT トラフィック用にポート 853/TCP を開きます。
```
firewall-cmd --add-service=dns-over-tls
```
```
# firewall-cmd --add-service=dns-over-tls
```
Copy to Clipboard Toggle word wrap

オプション: 外部認証局が発行した DoT 用のカスタム PEM 形式の証明書とキーを使用するには、次のファイルを作成します。

openssl req \
  -newkey rsa:2048 \
  -nodes \
  -keyout /etc/pki/tls/certs/privkey.pem \
  -x509 \
  -days 36500 \
  -out /etc/pki/tls/certs/certificate.pem \
  -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
  chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

$ openssl req \
  -newkey rsa:2048 \
  -nodes \
  -keyout /etc/pki/tls/certs/privkey.pem \
  -x509 \
  -days 36500 \
  -out /etc/pki/tls/certs/certificate.pem \
  -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
  chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

Copy to Clipboard

Toggle word wrap

統合 DNS を備えた IdM サーバーをインストールします。

注記

DoT を厳密に必要としない場合は、--dns-policy オプションを省略できます。その場合、インストーラーはデフォルトの relaxed ポリシーを使用します。

外部で発行されたキーと証明書を使用して IdM サーバーをインストールするには、証明書とキーのパスを指定します。

ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

Copy to Clipboard

Toggle word wrap

統合 IdM CA を使用して IdM サーバーをインストールするには、次のコマンドを実行します。

ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

Copy to Clipboard

Toggle word wrap

トラブルシューティング

unbound サービスの詳細ロギングを有効にします。
```
unbound-control verbosity 3
```
```
# unbound-control verbosity 3
```
Copy to Clipboard Toggle word wrap
更新された設定を適用するには、unbound サービスを再起動します。
```
systemctl restart unbound
```
```
# systemctl restart unbound
```
Copy to Clipboard Toggle word wrap
unbound サービスのリアルタイムログを監視します。
```
journalctl -u unbound -f
```
```
$ journalctl -u unbound -f
```
Copy to Clipboard Toggle word wrap

トップに戻る

29.2. eDNS を使用するように設定された IdM サーバーのインストール

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links