Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

1.6. Identity Management DNS と GSS-TSIG 認証の統合

Identity Management を使用してドメイン内のホストを一元管理する場合は、Identity Management DNS サービスを Satellite Server に統合できます。この統合により、既存の Identity Management DNS サーバーを引き続き使用できるようになり、Satellite はホストのライフサイクル内であれば DNS レコードを管理します。

Satellite Server または Capsule Server が Identity Management ドメインのメンバーである場合は、Generic Security Service Transaction Signature (GSS-TSIG) 認証を使用します。この方法では、TSIG 認証に比べてセキュリティーが強化され、キー管理の手間が軽減されます。

1.6.1. Identity Management を Satellite Server で使用するための設定
リンクのコピー

既存の Identity Management DNS サーバーを統合するには、Identity Management 環境を準備する必要があります。この準備作業により、Satellite Server が Generic Security Service Transaction Signature (GSS-TSIG) 認証を使用して DNS エントリーを更新できるようになります。

前提条件

  • Identity Management ドメインがデプロイされ、機能している。
  • Identity Management が統合 DNS サービスを使用して設定されている。
  • Identity Management サーバーのファイアウォールで必要なポートへのアクセスが許可されている。詳細は、Red Hat Enterprise Linux 9 Identity Management のインストールIdM のポート要件 を参照してください。

手順

  1. Identity Management ドメインのメンバーであるホストで、admin ユーザーの Kerberos チケットを取得します。 

    # kinit admin
    Copy to Clipboard Toggle word wrap

  2. Identity Management サーバーでの認証に使用するために、Satellite Server 用の新しい Kerberos プリンシパルを作成します。 

    # ipa service-add capsule/satellite.example.com
    Copy to Clipboard Toggle word wrap

  3. オプション: 正引き DNS ゾーンを追加します。 

    # ipa dnszone-add example.com
    Copy to Clipboard Toggle word wrap

  4. 正引きゾーンの BIND 更新ポリシーを表示します。 

    # ipa dnszone-show example.com --all | \
grep "BIND update policy"
    Copy to Clipboard Toggle word wrap

    出力例: 

    BIND update policy: grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;
    Copy to Clipboard Toggle word wrap

    設定の値をメモします。

  5. 正引きゾーンの設定を更新します。 

    # ipa dnszone-mod example.com \
--dynamic-update=TRUE \
--allow-sync-ptr=TRUE \
--update-policy="<existing_policy> grant smartproxy\047foreman.example.com@EXAMPLE.COM wildcard * ANY;"
    Copy to Clipboard Toggle word wrap

    このコマンドは、ゾーン設定を次のように変更します。

    • 動的ゾーン更新が有効になります。
    • A レコードまたは AAAA レコードが正引きゾーンで更新された場合、Identity Management が逆引き DNS ゾーン内の対応する PTR レコードを更新します。
    • 前のステップで作成した Kerberos プリンシパルに、あらゆるタイプのデータレコードを変更する権限が与えられます。この設定を既存の値に追加する必要があることに注意してください。

  6. オプション: 逆引き DNS ゾーンを追加します。 

    # ipa dnszone-add 0.168.192.in-addr.arpa
    Copy to Clipboard Toggle word wrap

  7. 逆引きゾーンの BIND 更新ポリシーを表示します。 

    # ipa dnszone-show 0.168.192.in-addr.arpa --all | \
grep "BIND update policy"
    Copy to Clipboard Toggle word wrap

    出力例: 

    BIND update policy: grant EXAMPLE.COM krb5-subdomain 0.168.192.in-addr.arpa. PTR;
    Copy to Clipboard Toggle word wrap

    設定の値をメモします。

  8. 逆引きゾーンの設定を更新します。 

    # ipa dnszone-mod 0.168.192.in-addr.arpa \
--dynamic-update=TRUE \
--update-policy="<existing_policy> grant smartproxy\047foreman.example.com@EXAMPLE.COM wildcard * ANY;"
    Copy to Clipboard Toggle word wrap

    既存の値に更新ポリシーを追加する必要があることに注意してください。

1.6.2. Identity Management を Capsule で使用するための設定
リンクのコピー

「Identity Management を Satellite Server で使用するための設定」 の説明に従って Identity Management の DNS サーバーを準備したら、DNS サーバーを Satellite Server または Capsule Server に統合します。

前提条件

  • ホストの DNS 検索ドメインを Identity Management の DNS ドメインに設定する。
  • ホストが Identity Management の DNS サーバーへの認証に使用する Kerberos プリンシパル (例: capsule/satellite.example.com) がわかっている。

手順

  1. Satellite Server または Capsule Server がまだ Identity Management ドメインのメンバーでない場合は、次の手順を実行します。

    1. ipa-client パッケージをインストールします。 

      # satellite-maintain packages install ipa-client
      Copy to Clipboard Toggle word wrap

    2. Identity Management クライアントをインストールします。 

      # ipa-client-install
      Copy to Clipboard Toggle word wrap

      画面上の指示に従ってください。

  2. admin ユーザーの Kerberos チケットを取得します。 

    # kinit admin
    Copy to Clipboard Toggle word wrap

  3. /etc/foreman-proxy/dns.keytab ファイルを削除します。 

    # rm --force /etc/foreman-proxy/dns.keytab
    Copy to Clipboard Toggle word wrap

  4. Capsule 用の Kerberos キータブファイルを取得し、/etc/foreman-proxy/dns.keytab ファイルに保存します。 

    # ipa-getkeytab -p capsule/satellite.example.com@EXAMPLE.COM \
-k /etc/foreman-proxy/dns.keytab
    Copy to Clipboard Toggle word wrap
    重要

    稼働中の元のシステムと同じホスト名を持つスタンバイシステムにキータブを追加する場合は、新しい認証情報が生成されて元のシステムの認証情報が無効になるのを防ぐために、ipa-getkeytab コマンドに -r オプションを渡してください。

  5. /etc/foreman-proxy/dns.keytab の所有者とグループを foreman-proxy に設定します。 

    # chown foreman-proxy:foreman-proxy /etc/foreman-proxy/dns.keytab
    Copy to Clipboard Toggle word wrap

  6. /etc/foreman-proxy/dns.keytab ファイルが有効であることを確認します。

    1. 次のファイルを使用して Kerberos チケットを取得します。 

      # kinit -kt /etc/foreman-proxy/dns.keytab \
capsule/satellite.example.com@EXAMPLE.COM
      Copy to Clipboard Toggle word wrap

    2. Kerberos チケットを表示します。 

      # klist
      Copy to Clipboard Toggle word wrap

      出力例: 

      Ticket cache: KCM:0:50473
Default principal: smartproxy/satellite.example.com@EXAMPLE.COM

Valid starting       Expires              Service principal
05/20/2025 12:12:35  05/21/2025 11:54:31  krbtgt/EXAMPLE.COM@EXAMPLE.COM
      Copy to Clipboard Toggle word wrap

  7. Identity Management DNS サービスに接続するように Satellite Server または Capsule Server を設定します。 

    # satellite-installer \
--foreman-proxy-dns true \
--foreman-proxy-dns-provider nsupdate_gss \
--foreman-proxy-dns-managed false \
--foreman-proxy-dns-server "idm-server.example.com" \
--foreman-proxy-dns-tsig-keytab /etc/foreman-proxy/dns.keytab \
--foreman-proxy-dns-tsig-principal "capsule/satellite.example.com@EXAMPLE.COM"
    Copy to Clipboard Toggle word wrap
  8. 対象の Capsule ごとに、Satellite Web UI で Capsule の設定を更新します。詳細は、「DNS サービスをドメインおよびサブネットに関連付ける」 を参照してください。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat