Red Hat Summit1.5. IdM에 대한 DNS 호스트 이름 및 DNS 요구 사항 충족
서버 및 복제본 시스템에 대한 호스트 이름 및 DNS 요구 사항은 아래에 설명되어 있으며 시스템이 요구 사항을 충족하는지 확인하는 방법도 설명합니다.
LDAP 디렉터리 서비스, Kerberos 및 Active Directory 통합 실행을 포함하여 거의 모든 IdM(Identity Management) 도메인 기능에 DNS 레코드가 중요합니다. 신중하게 다음 사항을 확인하십시오.
- 테스트되고 기능적인 DNS 서비스를 사용할 수 있습니다.
- 서비스가 올바르게 구성되어 있습니다.
이 요구 사항은 통합 DNS를 사용하는 및 없이 모든 IdM 서버에 적용됩니다.
- 서버 호스트 이름 확인
호스트 이름은
server.idm.example.com과 같은 정규화된 도메인 이름이어야 합니다.중요단일 레이블 도메인 이름(예:
.company): IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예:example.com또는company.example.com)으로 구성되어야 합니다.정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
- 유효한 DNS 이름이며 숫자, 영문자 및 하이픈(-)만 허용됩니다. 호스트 이름에 밑줄(_)과 같은 기타 문자는 DNS 오류가 발생합니다.
- 모두 소문자이어야 합니다. 대문자는 사용할 수 없습니다.
-
루프백 주소로 확인되지 않습니다.
127.0.0.1이 아닌 시스템의 공용 IP 주소로 확인되어야 합니다.
호스트 이름을 확인하려면 설치하려는 시스템에서
hostname유틸리티를 사용합니다.hostname
# hostname server.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow hostname의 출력은localhost또는localhost6이 아니어야 합니다.- 정방향 및 역방향 DNS 구성 확인
서버의 IP 주소를 가져옵니다.
ip addr show명령은 IPv4 및 IPv6 주소를 모두 표시합니다. 다음 예에서 범위가 전역이므로 관련 IPv6 주소는2001:DB8::1111입니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
dig유틸리티를 사용하여 정방향 DNS 구성을 확인합니다.dig +short server.idm.example.com명령을 실행합니다. 반환된 IPv4 주소는ip addr show에서 반환된 IP 주소와 일치해야 합니다.dig +short server.idm.example.com A
[root@server ~]# dig +short server.idm.example.com A 192.0.2.1Copy to Clipboard Copied! Toggle word wrap Toggle overflow dig +short server.idm.example.com AAAA명령을 실행합니다. 주소를 반환하는 경우ip addr show:에서 반환한 IPv6 주소와 일치해야합니다.dig +short server.idm.example.com AAAA
[root@server ~]# dig +short server.idm.example.com AAAA 2001:DB8::1111Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고dig에서 AAAA 레코드에 대한 출력을 반환하지 않으면 잘못된 구성이 표시되지 않습니다. 출력은 단지 시스템의 DNS에 IPv6 주소가 구성되어 있지 않음을 의미합니다. 네트워크에서 IPv6 프로토콜을 사용하지 않으려면 이 상황에서 설치를 진행할 수 있습니다.
역방향 DNS 구성(PTR 레코드)을 확인합니다.
dig유틸리티를 사용하여 IP 주소를 추가합니다.아래 명령에서 다른 호스트 이름 또는 호스트 이름이 없으면 역방향 DNS 구성이 올바르지 않습니다.
dig +short -x IPv4_address명령을 실행합니다. 출력에 서버 호스트 이름이 표시되어야 합니다. 예를 들어 다음과 같습니다.dig +short -x 192.0.2.1
[root@server ~]# dig +short -x 192.0.2.1 server.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에서
dig +short -x server.example.com AAAA명령이 IPv6 주소를 반환한 경우dig를 사용하여 IPv6 주소를 쿼리합니다. 출력에 서버 호스트 이름이 표시되어야 합니다. 예를 들어 다음과 같습니다.dig +short -x 2001:DB8::1111
[root@server ~]# dig +short -x 2001:DB8::1111 server.idm.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 참고이전 단계에서
dig +short server.idm.example.com AAAA가 IPv6 주소를 표시하지 않으면 AAAA 레코드를 쿼리해도 아무 것도 출력되지 않습니다. 이 경우 정상적인 동작이며 잘못된 구성이 표시되지 않습니다.주의역방향 DNS(PTR 레코드) 검색에서 여러 호스트 이름,
httpd및 IdM과 관련된 기타 소프트웨어에서 예기치 않은 동작이 표시될 수 있습니다. Red Hat은 IP당 하나의 PTR 레코드만 구성하는 것이 좋습니다.
- DNS 전달자의 표준 준수 확인 (통합 DNS에만 필요)
IdM DNS 서버와 함께 사용하려는 모든 DNS 전달자가 DNS(Extension Mechanisms for DNS)를 준수하는지 확인합니다. 이렇게 하려면 각 전달자에 대해 다음 명령의 출력을 검사합니다.
dig @IP_address_of_the_DNS_forwarder . SOA
$ dig @IP_address_of_the_DNS_forwarder . SOACopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령에서 표시되는 예상 출력에는 다음 정보가 포함됩니다.
-
상태:
NOERROR -
플래그:
ra
출력에서 이러한 항목 중 하나가 없는 경우 DNS 전달자의 문서를 검사하고 EDNS0이 지원되고 활성화되어 있는지 확인합니다.
-
상태:
- DNS Security Extensions (DNS Security Extensions) 정책 확인 (통합 DNS에만 필요)
- 주의
DNSSEC는 IdM에서 기술 프리뷰로만 사용할 수 있습니다.
IdM 통합 DNS 서버에서 DNSSEC 검증은 기본적으로 활성화되어 있습니다. IdM 배포에 DNSSEC 기능이 필요하지 않은 경우 기본 IdM 서버 및 IdM 복제본을 설치할 때
ipa옵션을 추가합니다.-server-install --setup-dns및ipa-replica-install --setup-dns명령에 --no-dns-validationDNSSEC를 사용하려면 IdM DNS 서버와 함께 사용하려는 모든 DNS 전달자가 DNSSEC 표준을 준수하는지 확인합니다. 이렇게 하려면 각 전달자에 대해 다음 명령의 출력을 검사합니다.
dig +dnssec @IP_address_of_the_DNS_forwarder . SOA
$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOACopy to Clipboard Copied! Toggle word wrap Toggle overflow 명령에서 표시되는 예상 출력에는 다음 정보가 포함됩니다.
-
상태:
NOERROR -
플래그:
ra -
EDNS 플래그:
do -
RRSIG레코드가ANSWER섹션에 있어야 합니다.
출력에서 이러한 항목 중 하나라도 없는 경우 DNS 전달자의 문서를 검사하고 DNSSEC가 지원되고 활성화되어 있는지 확인합니다.
dig +dnssec에서 생성된 예상 출력의 예:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고이미 배포된 IdM 서버에서
/etc/named/ipa-options-ext.conf파일에서dnssec-validation부울 옵션을 검색하여 DNSSEC 유효성 검사가 활성화되어 있는지 확인할 수 있습니다. -
상태:
/etc/hosts파일 확인/etc/hosts파일이 다음 조건 중 하나를 충족하는지 확인합니다.- 파일에는 호스트에 대한 항목이 포함되어 있지 않습니다. 호스트의 IPv4 및 IPv6 localhost 항목만 나열합니다.
파일에는 호스트에 대한 항목이 포함되어 있으며 파일은 다음 조건을 모두 이행합니다.
- 처음 두 항목은 IPv4 및 IPv6 localhost 항목입니다.
- 다음 항목은 IdM 서버 IPv4 주소와 호스트 이름을 지정합니다.
-
IdM 서버의
FQDN은 IdM 서버의 짧은 이름 앞에 옵니다. - IdM 서버 호스트 이름은 localhost 항목에 포함되지 않습니다.
다음은 올바르게 구성된
/etc/hosts파일의 예입니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}