1.4. Nome do host e requisitos DNS para IdM
Esta seção lista o nome do host e os requisitos DNS para servidores e réplicas de sistemas. Ela também mostra como verificar se os sistemas atendem aos requisitos.
Os requisitos desta seção se aplicam a todos os servidores de Gerenciamento de Identidade (IdM), aqueles com DNS integrado e aqueles sem DNS integrado.
Os registros DNS são vitais para quase todas as funções do domínio IdM, incluindo a execução de serviços de diretório LDAP, Kerberos e integração com Active Directory. Seja extremamente cauteloso e assegure-se disso:
- Você tem um serviço DNS testado e funcional disponível
- O serviço está devidamente configurado
Esta exigência se aplica a servidores IdM com and sem DNS integrado.
- Verificar o nome do host do servidor
O nome do host deve ser um nome de domínio totalmente qualificado, como por exemplo
server.example.com
.O nome de domínio totalmente qualificado deve satisfazer as seguintes condições:
- É um nome DNS válido, o que significa que somente números, caracteres alfabéticos e hífens (-) são permitidos. Outros caracteres, tais como sublinhados (_), no nome do host causam falhas no DNS.
- É tudo em minúsculas. Não são permitidas letras maiúsculas.
-
Ele não resolve para o endereço de loopback. Ele deve resolver para o endereço IP público do sistema, não para
127.0.0.1
.
Para verificar o nome do host, use o utilitário
hostname
no sistema onde você deseja instalar:# hostname server.idm.example.com
O resultado de
hostname
não deve serlocalhost
oulocalhost6
.- Verificar a configuração do DNS para frente e para trás
Obter o endereço IP do servidor.
O comando
ip addr show
exibe tanto os endereços IPv4 como IPv6. No exemplo a seguir, o endereço IPv6 relevante é2001:DB8::1111
porque seu escopo é global:[root@server ~]# ip addr show ... 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0 valid_lft 106694sec preferred_lft 106694sec inet6 2001:DB8::1111/32 scope global dynamic valid_lft 2591521sec preferred_lft 604321sec inet6 fe80::56ee:75ff:fe2b:def6/64 scope link valid_lft forever preferred_lft forever ...
Verifique a configuração do DNS forward usando o utilitário
dig
.Execute o comando
dig short server.example.com A
. O endereço IPv4 devolvido deve corresponder ao endereço IP devolvido porip addr show
:[root@server ~]# dig +short server.example.com A 192.0.2.1
Execute o comando
dig short server.example.com AAAA
. Se ele retornar um endereço, ele deve corresponder ao endereço IPv6 retornado porip addr show
:[root@server ~]# dig +short server.example.com AAAA 2001:DB8::1111
NotaSe
dig
não retornar nenhuma saída para o registro AAAA, ele não indica configuração incorreta. Nenhuma saída significa apenas que nenhum endereço IPv6 está configurado no DNS para o sistema. Se você não pretende usar o protocolo IPv6 em sua rede, você pode prosseguir com a instalação nesta situação.
Verificar a configuração DNS inversa (registros PTR). Use o utilitário
dig
e adicione o endereço IP.Se os comandos abaixo exibem um nome de host diferente ou nenhum nome de host, a configuração DNS inversa está incorreta.
Execute o comando
dig short -x IPv4_address
. A saída deve exibir o nome do host do servidor. Por exemplo:[root@server ~]# dig +short -x 192.0.2.1 server.example.com
Se o comando
dig short -x server.example.com AAAA
na etapa anterior devolveu um endereço IPv6, usedig
para consultar também o endereço IPv6. A saída deve mostrar o nome do host do servidor. Por exemplo:[root@server ~]# dig +short -x 2001:DB8::1111 server.example.com
NotaSe
dig short server.example.com AAAA
na etapa anterior não exibia nenhum endereço IPv6, consultando o registro AAAA não produziu nada. Neste caso, este é um comportamento normal e não indica configuração incorreta.AtençãoSe uma busca DNS reversa (registro PTR) retorna vários nomes de host,
httpd
e outros softwares associados à IdM podem mostrar um comportamento imprevisível. A Red Hat recomenda fortemente a configuração de apenas um registro PTR por IP.
- Verificar a conformidade com as normas dos encaminhadores DNS (exigido apenas para o DNS integrado)
Certifique-se de que todos os encaminhadores DNS que você deseja utilizar com o servidor DNS da IdM estejam em conformidade com os mecanismos de extensão para os padrões DNS (EDNS0) e Extensões de Segurança DNS (DNSSEC). Para fazer isso, inspecione a saída do seguinte comando para cada encaminhador separadamente:
$ dig dnssec @IP_address_of_the_DNS_forwarder . SOA
A saída esperada exibida pelo comando contém as seguintes informações:
-
status
NOERROR
-
bandeiras
ra
-
Bandeiras EDNS
do
-
O registro
RRSIG
deve estar presente na seçãoANSWER
Se algum desses itens estiver faltando na saída, inspecione a documentação para seu encaminhador DNS e verifique se EDNS0 e DNSSEC são suportados e habilitados. Nas versões mais recentes do servidor BIND, a opção
dnssec-enable yes;
deve ser definida no arquivo/etc/named.conf
.Exemplo da produção esperada produzida por
dig
:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; ANSWER SECTION: . 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400 . 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
-
status
- Verifique o arquivo
/etc/hosts
Verifique se o arquivo
/etc/hosts
preenche uma das seguintes condições:- O arquivo não contém uma entrada para o anfitrião. Ele apenas lista as entradas IPv4 e IPv6 do localhost para o host.
O arquivo contém uma entrada para o anfitrião e o arquivo preenche todas as condições a seguir:
- As duas primeiras entradas são as entradas IPv4 e IPv6 localhost.
- A próxima entrada especifica o endereço IPv4 do servidor IdM e o nome do host.
-
O
FQDN
do servidor da IdM vem antes do nome curto do servidor da IdM. - O nome do anfitrião do servidor IdM não faz parte da entrada do anfitrião local.
A seguir, um exemplo de um arquivo
/etc/hosts
corretamente configurado:
127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 192.0.2.1 server.example.com server 2001:DB8::1111 server.example.com server