1.5. 满足 IdM 的 DNS 主机名和 DNS 要求
以下概述了服务器和副本系统的主机名和 DNS 要求,以及如何验证系统是否满足要求。
DNS 记录对于几乎所有 RHEL 身份管理(IdM)域功能至关重要,包括运行 LDAP 目录服务、Kerberos 和活动目录集成。请非常小心,并确保:
- 您有一个经过测试且可以正常工作的 DNS 服务
- 该服务已被正确配置
这个要求适用于所有 IdM 服务器,包括具有 和 没有集成的 DNS。
- 验证服务器主机名
主机名必须是完全限定域名,如
server.idm.example.com
。重要不要使用单标签域名,例如
.company
: IdM 域必须由一个或多个子域和一个顶级域组成,如example.com
或company.example.com
。完全限定域名必须满足以下条件:
- 它是一个有效的 DNS 名称,即只允许数字、字母字符和连字符(-)。主机名中的其他字符(如下划线(_))会导致 DNS 失败。
- 都是小写。不允许使用大写字母。
-
它无法解析回送地址。它必须解析系统的公共 IP 地址,而不是
127.0.0.1
。
要验证主机名,在您要安装的系统中使用
hostname
工具:hostname
# hostname server.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow hostname
的输出不能是localhost
或localhost6
。- 验证转发和反向 DNS 配置
获取服务器的 IP 地址。
ip addr show
命令显示 IPv4 和 IPv6 地址。在以下示例中,相关的 IPv6 地址为2001:DB8::1111
,因为其范围是全局的:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
使用
dig
工具证正向 DNS 配置。运行
dig +short server.idm.example.com A
命令。返回的 IPv4 地址必须与ip addr show
返回的 IP 地址匹配:dig +short server.idm.example.com A
[root@server ~]# dig +short server.idm.example.com A 192.0.2.1
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
dig +short server.idm.example.com AAAA
命令。如果返回一个地址,它必须与ip addr show
返回的 IPv6 地址匹配:dig +short server.idm.example.com AAAA
[root@server ~]# dig +short server.idm.example.com AAAA 2001:DB8::1111
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果
dig
没有返回 AAAA 记录的任何输出,那么这并不表示配置不正确。没有输出只表示系统在 DNS 中没有配置 IPv6 地址。如果您不打算在网络中使用 IPv6 协议,则可以继续进行安装。
验证反向 DNS 配置(PTR 记录)。使用
dig
工具并添加 IP 地址。如果以下命令显示不同的主机名或没有主机名,则反向 DNS 配置不正确。
运行
dig +short -x IPv4_address
命令。输出必须显示服务器主机名。例如:dig +short -x 192.0.2.1
[root@server ~]# dig +short -x 192.0.2.1 server.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果上一步中的
dig +short -x server.idm.example.com AAAA
命令返回 IPv6 地址,请也使用dig
查询 IPv6 地址。输出必须显示服务器主机名。例如:dig +short -x 2001:DB8::1111
[root@server ~]# dig +short -x 2001:DB8::1111 server.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果上一步中的
dig +short server.idm.example.com AAAA
没有显示任何 IPv6 地址,则查询 AAAA 记录不会输出任何内容。在这种情况下,这是正常的行为,不代表配置不正确。警告如果反向 DNS(PTR 记录)搜索返回多个主机名,那么
httpd
和其他与 IdM 关联的软件可能会显示无法预测的行为。红帽强烈建议每个 IP 只配置一个 PTR 记录。
- 验证 DNS 正向解析器的标准合规性(仅集成DNS需要)
确保您要与 IdM DNS 服务器一起使用的所有 DNS 转发器都符合 DNS 扩展机制(EDNS0)。要做到这一点,请分别检查每个正向解析器的以下命令的输出:
dig @IP_address_of_the_DNS_forwarder . SOA
$ dig @IP_address_of_the_DNS_forwarder . SOA
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 命令显示的预期输出包含以下信息:
-
状态:
NOERROR
-
标记:
ra
如果输出中缺少这些项的其中一个,请检查您的 DNS 转发器的文档,并验证 EDNS0 是否被支持并启用了。
-
状态:
- 验证
/etc/hosts
文件 验证
/etc/hosts
文件是否满足以下条件之一:- 该文件不包含主机的条目。它只列出主机的 IPv4 和 IPv6 localhost 条目。
该文件包含主机条目,并且文件满足以下所有条件:
- 前两个条目是 IPv4 和 IPv6 localhost 条目。
- 下一个条目指定 IdM 服务器 IPv4 地址和主机名。
-
IdM 服务器的
FQDN
位于 IdM 服务器的短名称之前。 - IdM 服务器主机名不是 localhost 条目的一部分。
以下是正确配置的
/etc/hosts
文件示例:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow