29.2. 安装配置为使用 eDNS 的 IdM 服务器


您可以使用 ipa-server-install 工具执行非交互式安装来安装启用了 DoT 的 IdM 服务器。这个步骤描述了如何使用集成的 DNS 服务使用 强制 策略配置 DoT。如果您需要 放松 的策略,您可以跳过为 DoT 单独配置客户端和副本的步骤,因为 IdM 服务器自动发现它们。

您可以使用集成 IdM 证书颁发机构(CA)发布的证书,或者提供外部 CA 发布的自定义证书。如果没有提供证书,IdM CA 会在安装过程中自动发布 DoT 证书。

先决条件

  • 查看 为 IdM 服务器安装准备系统 中所述的步骤。
  • 对于 强制的 DoT,请完成 配置客户端和副本系统 中的步骤,使其只使用 DoT
  • 确保安装了以下软件包:

    • ipa-server
    • ipa-server-dns
    • ipa-server-encrypted-dns
    • ipa-client-encrypted-dns

      重要

      ipa-server-encrypted-dns 软件包需要新版本的 bind-utils 软件包,而不是 RHEL 上默认安装的版本。运行 sudo dnf install ipa-server ipa-server-encrypted-dns --allowerasing,以允许软件包管理器删除旧的 bind-utils 软件包并安装 ipa-server-encrypted-dns 所需的版本。

流程

  1. 系统防火墙 中添加 dns-over-tls 服务,为 DoT 流量打开端口 853/TCP :

    # firewall-cmd --add-service=dns-over-tls
    Copy to Clipboard Toggle word wrap
  2. 可选:要将自定义 PEM 格式的证书和密钥用于外部证书颁发机构发布的 DoT,请创建文件:

    $ openssl req \
      -newkey rsa:2048 \
      -nodes \
      -keyout /etc/pki/tls/certs/privkey.pem \
      -x509 \
      -days 36500 \
      -out /etc/pki/tls/certs/certificate.pem \
      -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
      chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem
    Copy to Clipboard Toggle word wrap
  3. 安装带有集成 DNS 的 IdM 服务器:
注意

如果您不严格要求 DoT,可以省略 --dns-policy 选项。然后,安装程序使用默认的 relaxed 策略。

  • 要使用外部发布的密钥和证书安装 IdM 服务器,请指定证书和密钥路径:

    # ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
    Copy to Clipboard Toggle word wrap
  • 要安装带有集成 IdM CA 的 IdM 服务器,请运行以下命令:

    # ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U
    Copy to Clipboard Toggle word wrap

故障排除

  1. unbound 服务启用详细的日志记录:

    # unbound-control verbosity 3
    Copy to Clipboard Toggle word wrap
  2. 重启 unbound 服务以应用更新的配置:

    # systemctl restart unbound
    Copy to Clipboard Toggle word wrap
  3. 监控 unbound 服务的实时日志:

    $ journalctl -u unbound -f
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat