Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

1.5. IdM の DNS ホスト名および DNS の要件への対応

サーバーおよびレプリカシステムのホスト名と DNS 要件を以下に示します。また、システムが要件を満たしていることを確認する方法も説明します。

警告

DNS レコードは、LDAP ディレクトリーサービスの実行、Kerberos、Active Directory 統合など、ほぼすべての Identity Management (IdM) ドメイン機能にとって不可欠です。以下の点を確認し、十分注意してください。

  • テスト済みの機能する DNS サービスが利用可能である。
  • サービスが適切に設定されている。

この要件は、統合 DNS の 有無にかかわらず、すべての IdM サーバーに適用されます。

サーバーのホスト名の検証

ホスト名は、完全修飾ドメイン名 (例: server.idm.example.com) である必要があります。

重要

.company など、単一ラベルのドメイン名を使用しないでください。IdM ドメインは、トップレベルドメインと、1 つ以上のサブドメイン (example.comcompany.example.com など) で構成されている必要があります。

完全修飾ドメイン名は、以下の条件を満たす必要があります。

  • 数字、アルファベット文字、およびハイフン (-) のみが使用される有効な DNS 名である。ホスト名でアンダーライン (_) を使用すると DNS が正常に動作しません。
  • すべてが小文字である。大文字は使用できません。
  • ループバックアドレスに解決されない。127.0.0.1 ではなく、システムのパブリック IP アドレスに解決される必要があります。

ホスト名を検証するには、インストールするシステムで hostname ユーティリティーを使用します。 

# hostname
server.idm.example.com

hostname の出力は、localhost または localhost6 以外である必要があります。

正引きおよび逆引きの DNS 設定の確認

  1. サーバーの IP アドレスを取得します。

    1. ip addr show コマンドを実行すると、IPv4 アドレスと IPv6 アドレスの両方が表示されます。以下の例では、スコープがグローバルであるため、対応する IPv6 アドレスは 2001:DB8::1111 となります。 

      [root@server ~]# ip addr show
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff
inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0
valid_lft 106694sec preferred_lft 106694sec
inet6 2001:DB8::1111/32 scope global dynamic
valid_lft 2591521sec preferred_lft 604321sec
inet6 fe80::56ee:75ff:fe2b:def6/64 scope link
valid_lft forever preferred_lft forever
...

  2. dig ユーティリティーを使用して、正引き DNS 設定を確認します。

    1. dig +short server.idm.example.com A コマンドを実行します。返される IPv4 アドレスは、ip addr show により返される IP アドレスと一致する必要があります。 

      [root@server ~]# dig +short server.idm.example.com A
192.0.2.1

    2. dig +short server.idm.example.com AAAA コマンドを実行します。このコマンドに返されるアドレスは、ip addr show により返される IPv6 アドレスと一致する必要があります。 

      [root@server ~]# dig +short server.idm.example.com AAAA
2001:DB8::1111
      注記

      dig により AAAA レコードの出力が返されなくても、設定が間違っているわけではありません。出力されないのは、DNS にシステムの IPv6 アドレスが設定されていないためです。ネットワークで IPv6 プロトコルを使用する予定がない場合は、この状況でもインストールを続行できます。

  3. 逆引き DNS 設定 (PTR レコード) を確認します。dig ユーティリティーを使用し、IP アドレスを追加します。

    以下のコマンドで別のホスト名が表示されたり、ホスト名が表示されない場合、逆引き DNS 設定は正しくありません。

    1. dig +short -x IPv4_address コマンドを実行します。出力には、サーバーホスト名が表示されるはずです。以下に例を示します。 

      [root@server ~]# dig +short -x 192.0.2.1
server.idm.example.com

    2. 前の手順で実行した dig +short -x server.idm.example.com AAAA コマンドにより IPv6 アドレスが返された場合は、dig を使用して IPv6 アドレスのクエリーを実行します。出力には、サーバーホスト名が表示されるはずです。以下に例を示します。 

      [root@server ~]# dig +short -x 2001:DB8::1111
server.idm.example.com
      注記

      前の手順で dig +short server.idm.example.com AAAA コマンドにより IPv6 アドレスが返されなかった場合は、AAAA レコードのクエリーを実行しても、何も出力されません。この場合、これは正常な動作で、誤った設定を示すものではありません。

      警告

      逆引き DNS (PTR レコード) の検索が複数のホスト名を返すと、httpd、および IdM に関連付けられた他のソフトウェアで予期しない動作が表示される場合があります。Red Hat は、1 つの IP につき 1 つの PTR レコードを設定することを強く推奨します。

DNS フォワーダーの規格準拠の確認 (統合 DNS の場合のみ必要)

IdM DNS サーバーで使用するすべての DNS フォワーダーが、Extension Mechanisms for DNS (EDNS0) に準拠していることを確認します。具体的には、フォワーダーごとに、次のコマンドの出力を確認します。 

$ dig @IP_address_of_the_DNS_forwarder . SOA

コマンドの出力には、以下の情報が含まれます。

  • ステータス - NOERROR
  • フラグ - ra

これらの項目のいずれかが出力にない場合は、DNS フォワーダーのドキュメントを調べて、EDNS0 がサポートされ、有効になっていることを確認してください。

DNS Security Extensions (DNSSEC) ポリシーの確認 (統合 DNS にのみ必要)
警告

DNSSEC は、IdM ではテクノロジープレビューとしてのみ利用できます。

IdM 統合 DNS サーバーでは、DNSSEC 検証がデフォルトで有効になっています。IdM デプロイメントで DNSSEC 機能が必要ない場合は、プライマリー IdM サーバーと IdM レプリカをインストールするときに、ipa-server-install --setup-dns および ipa-replica-install --setup-dns コマンドに --no-dnssec-validation オプションを追加します。

DNSSEC を使用する場合は、IdM DNS サーバーで使用するすべての DNS フォワーダーが DNSSEC 標準に準拠していることを確認してください。具体的には、フォワーダーごとに、次のコマンドの出力を確認します。 

$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOA

コマンドの出力には、以下の情報が含まれます。

  • ステータス - NOERROR
  • フラグ - ra
  • EDNS フラグ - do
  • ANSWER セクションには RRSIG レコードが必要です。

これらの項目のいずれかが出力にない場合は、DNS フォワーダーのドキュメントを調べて、DNSSEC がサポートされ、有効になっていることを確認してください。BIND サーバーの最新バージョンでは、dnssec-enable yes; オプションが /etc/named.conf ファイルに設定されている必要があります。

dig +dnssec によって生成される予想される出力の例: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
注記

すでにデプロイされている IdM サーバーでは、/etc/named/ipa-options-ext.conf ファイルで dnssec-validation ブールオプションを検索することで、DNSSEC 検証が有効かどうかを確認できます。

/etc/hosts ファイルの確認

/etc/hosts ファイルが以下のいずれかの条件を満たすことを確認します。

  • このファイルには、ホストのエントリーが含まれません。ホストの IPv4 および IPv6 の localhost エントリーリストのみを表示します。

  • このファイルには、ホストのエントリーが含まれ、ファイルには以下の条件がすべて満たされます。

    • 最初の 2 つのエントリーは、IPv4 および IPv6 の localhost エントリーです。
    • その次のエントリーは、IdM サーバーの IPv4 アドレスとホスト名を指定します。
    • IdM サーバーの FQDN は、IdM サーバーの省略名の前に指定します。
    • IdM サーバーのホスト名は、localhost エントリーには含まれません。

    以下は、適切に設定された /etc/hosts ファイルの例になります。 

127.0.0.1 localhost localhost.localdomain \
localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain \
localhost6 localhost6.localdomain6
192.0.2.1 server.idm.example.com server
2001:DB8::1111 server.idm.example.com server
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.