7.5. DNS 設定の確認
信頼を設定する前に、Identity Management (IdM) サーバーおよび Active Directory (AD) サーバーが自身を解決でき、相互に解決できることを確認します。
前提条件
- sudo パーミッションでログインする必要があります。
手順
UDP サービスレコードの Kerberos、および TCP サービスレコード上の LDAP に、DNS クエリーを実行します。
[admin@server ~]# dig +short -t SRV _kerberos._udp.idm.example.com. 0 100 88 server.idm.example.com. [admin@server ~]# dig +short -t SRV _ldap._tcp.idm.example.com. 0 100 389 server.idm.example.com.
コマンドは、すべての IdM サーバーをリストで表示する必要があります。
IdM Kerberos レルム名を使用して、TXT レコードに DNS クエリーを実行します。取得した値は、IdM のインストール時に指定した Kerberos レルムと一致することが予想されます。
[admin@server ~]# dig +short -t TXT _kerberos.idm.example.com. "IDM.EXAMPLE.COM"
前の手順で想定されるレコードがすべて返されなかった場合は、欠落しているレコードで DNS 設定を更新します。
IdM 環境で統合 DNS サーバーを使用する場合は、システムレコードを更新するオプションを指定せずに
ipa dns-update-system-recordsコマンドを実行します。[admin@server ~]$ ipa dns-update-system-records
IdM 環境で統合 DNS サーバーを使用しない場合は、以下を行います。
IdM サーバーで、IdM DNS レコードをファイルにエクスポートします。
[admin@server ~]$ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate
このコマンドは、関連する IdM DNS レコードで dns_records_file.nsupdate という名前のファイルを作成します。
-
nsupdateユーティリティーおよび dns_records_file.nsupdate ファイルを使用して DNS サーバーに DNS 更新リクエストを送信します。詳細は、RHEL 7 ドキュメントの nsupdate を使用した外部 DNS レコード更新 を参照してください。または、DNS レコードの追加については、お使いの DNS サーバーのドキュメントを参照してください。
IdM が、TCP サービスレコードで Kerberos および LDAP の DNS クエリーを実行するコマンドを使用して、AD のサービスレコードを解決できることを確認します。
[admin@server ~]# dig +short -t SRV _kerberos._tcp.dc._msdcs.ad.example.com. 0 100 88 addc1.ad.example.com. [admin@server ~]# dig +short -t SRV _ldap._tcp.dc._msdcs.ad.example.com. 0 100 389 addc1.ad.example.com.
