29.3. DoT のみを使用するようにクライアントシステムとレプリカシステムを設定する
DoT 通信を強制するには、DoT 対応リゾルバーを使用するようにクライアントシステムとレプリカシステムを設定する必要があります。eDNS 通信を有効にするには、NetworkManager の DNS 設定を更新する必要があります。この設定は、--dns-policy
が enforced
に設定されている場合にのみ必要です。
前提条件
- IdM クライアントをインストールするためのシステムの準備 および IdM レプリカをインストールするためのシステムの準備 で概説されているステップを確認した。
次のパッケージがインストールされている。
-
ipa-server-encrypted-dns
ipa-client-encrypted-dns
重要ipa-server-encrypted-dns
パッケージには、RHEL にデフォルトでインストールされているバージョンよりも、新しいバージョンのbind-utils
パッケージが必要です。sudo dnf install ipa-server ipa-server-encrypted-dns --allowerasing
を実行して、パッケージマネージャーが古いbind-utils
パッケージを削除し、ipa-server-encrypted-dns
が必要とするバージョンをインストールすることを許可します。
-
手順
IdM サーバーの DoT 証明書をクライアントシステムとレプリカシステムにコピーします。
scp /etc/pki/tls/certs/bind_dot.crt <username>@<ip>:/etc/pki/ca-trust/source/anchors/
$ scp /etc/pki/tls/certs/bind_dot.crt <username>@<ip>:/etc/pki/ca-trust/source/anchors/
Copy to Clipboard Copied! システム全体のトラストストア設定を更新します。
update-ca-trust extract
# update-ca-trust extract
Copy to Clipboard Copied! クライアントシステムとレプリカシステムに
dnsconfd
パッケージをインストールします。dnf install dnsconfd
# dnf install dnsconfd
Copy to Clipboard Copied! システム上で DoT のデフォルト設定ファイルを生成します。
dnsconfd config install
dnsconfd config install
Copy to Clipboard Copied! dnsconfd
サービスを有効にします。systemctl enable --now dnsconfd
# systemctl enable --now dnsconfd
Copy to Clipboard Copied! NetworkManager をリロードして設定を適用します。
nmcli g reload
# nmcli g reload
Copy to Clipboard Copied! NetworkManager でシステムの DNS を設定します。
nmcli device modify <device_name> ipv4.dns dns+tls://<idm_server_ip>
# nmcli device modify <device_name> ipv4.dns dns+tls://<idm_server_ip> Connection successfully reapplied to device '<device_name>'.
Copy to Clipboard Copied!