1.5. IdM のホスト名および DNS 要件
サーバーおよびレプリカシステムのホスト名と DNS 要件を以下に示します。また、システムが要件を満たしていることを確認する方法も説明します。
これらの要件は、統合 DNS のある Identity Management (IdM) サーバーおよび統合 DNS のないすべての Identity Management (IdM) サーバーに適用されます。
DNS レコードは、稼働中の LDAP ディレクトリーサービス、Kerberos、Active Directory 統合など、ほぼすべての IdM ドメイン機能で必須となります。以下の点を確認し、十分注意してください。
- テスト済みの機能する DNS サービスが利用可能である。
- サービスが適切に設定されている。
この要件は、統合 DNS の 有無に関わらず、IdM サーバーに適用されます。
- サーバーのホスト名の検証
ホスト名は、完全修飾ドメイン名 (例:
server.idm.example.com
) である必要があります。重要.company
など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.com
やcompany.example.com
など) で構成されている必要があります。完全修飾ドメイン名は、以下の条件を満たす必要があります。
- 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
- すべてが小文字である。大文字は使用できません。
-
ループバックアドレスに解決されない。
127.0.0.1
ではなく、システムのパブリック IP アドレスに解決される必要があります。
ホスト名を検証するには、インストールするシステムで
hostname
ユーティリティーを使用します。# hostname server.idm.example.com
hostname
の出力は、localhost
またはlocalhost6
以外である必要があります。- 正引きおよび逆引きの DNS 設定の確認
サーバーの IP アドレスを取得します。
ip addr show
コマンドを実行すると、IPv4 アドレスと IPv6 アドレスの両方が表示されます。以下の例では、スコープがグローバルであるため、対応する IPv6 アドレスは2001:DB8::1111
となります。[root@server ~]# ip addr show ... 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0 valid_lft 106694sec preferred_lft 106694sec inet6 2001:DB8::1111/32 scope global dynamic valid_lft 2591521sec preferred_lft 604321sec inet6 fe80::56ee:75ff:fe2b:def6/64 scope link valid_lft forever preferred_lft forever ...
dig
ユーティリティーを使用して、正引き DNS 設定を確認します。dig +short server.idm.example.com A
コマンドを実行します。返される IPv4 アドレスは、ip addr show
により返される IP アドレスと一致する必要があります。[root@server ~]# dig +short server.idm.example.com A 192.0.2.1
dig +short server.idm.example.com AAAA
コマンドを実行します。このコマンドに返されるアドレスは、ip addr show
により返される IPv6 アドレスと一致する必要があります。[root@server ~]# dig +short server.idm.example.com AAAA 2001:DB8::1111
注記dig
により AAAA レコードの出力が返されなくても、設定が間違っているわけではありません。出力されないのは、DNS にシステムの IPv6 アドレスが設定されていないためです。ネットワークで IPv6 プロトコルを使用する予定がない場合は、この状況でもインストールを続行できます。
逆引き DNS 設定 (PTR レコード) を確認します。
dig
ユーティリティーを使用し、IP アドレスを追加します。以下のコマンドで別のホスト名が表示されたり、ホスト名が表示されない場合、逆引き DNS 設定は正しくありません。
dig +short -x IPv4_address
コマンドを実行します。出力には、サーバーホスト名が表示されるはずです。以下に例を示します。[root@server ~]# dig +short -x 192.0.2.1 server.idm.example.com
前の手順で実行した
dig +short -x server.idm.example.com AAAA
コマンドにより IPv6 アドレスが返された場合は、dig
を使用して IPv6 アドレスのクエリーを実行します。出力には、サーバーホスト名が表示されるはずです。以下に例を示します。[root@server ~]# dig +short -x 2001:DB8::1111 server.idm.example.com
注記前の手順で
dig +short server.idm.example.com AAAA
コマンドにより IPv6 アドレスが返されなかった場合は、AAAA レコードのクエリーを実行しても、何も出力されません。この場合、これは正常な動作で、誤った設定を示すものではありません。警告逆引き DNS (PTR レコード) の検索が複数のホスト名を返すと、
httpd
、および IdM に関連付けられた他のソフトウェアで予期しない動作が表示される場合があります。Red Hat は、1 つの IP につき 1 つの PTR レコードを設定することを強く推奨します。
- DNS フォワーダーの規格準拠の確認 (統合 DNS の場合のみ必要)
IdM DNS サーバーで使用するすべての DNS フォワーダーが EDNS0 (Extension Mechanisms for DNS) および DNSSEC (DNS Security Extensions) の規格に準拠していることを確認します。具体的には、フォワーダーごとに、次のコマンドの出力を確認します。
$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOA
コマンドの出力には、以下の情報が含まれます。
-
ステータス -
NOERROR
-
フラグ -
ra
-
EDNS フラグ -
do
-
ANSWER
セクションにはRRSIG
レコードが必要です。
出力に上記のいずれかの項目がない場合は、使用している DNS フォワーダーのドキュメントに従い、EDNS0 と DNSSEC に対応し、ともに有効になっていることを確認してください。BIND サーバーの最新バージョンでは、
dnssec-enable yes;
オプションが/etc/named.conf
ファイルに設定されている必要があります。dig
により生成された出力の例;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; ANSWER SECTION: . 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400 . 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
-
ステータス -
/etc/hosts
ファイルの確認/etc/hosts
ファイルが以下のいずれかの条件を満たすことを確認します。- このファイルには、ホストのエントリーが含まれません。ホストの IPv4 および IPv6 の localhost エントリーリストのみを表示します。
このファイルには、ホストのエントリーが含まれ、ファイルには以下の条件がすべて満たされます。
- 最初の 2 つのエントリーは、IPv4 および IPv6 の localhost エントリーです。
- その次のエントリーは、IdM サーバーの IPv4 アドレスとホスト名を指定します。
-
IdM サーバーの
FQDN
は、IdM サーバーの省略名の前に指定します。 - IdM サーバーのホスト名は、localhost エントリーには含まれません。
以下は、適切に設定された
/etc/hosts
ファイルの例になります。
127.0.0.1 localhost localhost.localdomain \ localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain \ localhost6 localhost6.localdomain6 192.0.2.1 server.idm.example.com server 2001:DB8::1111 server.idm.example.com server