主页
产品
Red Hat Enterprise Linux
9
安装身份管理
29.2. 安装配置为使用 eDNS 的 IdM 服务器

29.2. 安装配置为使用 eDNS 的 IdM 服务器

您可以使用 ipa-server-install 工具执行非交互式安装来安装启用了 DoT 的 IdM 服务器。这个步骤描述了如何使用集成的 DNS 服务使用 强制 策略配置 DoT。如果您需要 放松 的策略，您可以跳过为 DoT 单独配置客户端和副本的步骤，因为 IdM 服务器自动发现它们。

您可以使用集成 IdM 证书颁发机构(CA)发布的证书，或者提供外部 CA 发布的自定义证书。如果没有提供证书，IdM CA 会在安装过程中自动发布 DoT 证书。

先决条件

查看为 IdM 服务器安装准备系统中所述的步骤。
对于 强制的 DoT，请完成配置客户端和副本系统中的步骤，使其只使用 DoT。
确保安装了以下软件包：
- ipa-server
- ipa-server-dns
- ipa-server-encrypted-dns
- ipa-client-encrypted-dns
  重要
  ipa-server-encrypted-dns 软件包需要新版本的 bind-utils 软件包，而不是 RHEL 上默认安装的版本。运行 sudo dnf install ipa-server ipa-server-encrypted-dns --allowerasing，以允许软件包管理器删除旧的 bind-utils 软件包并安装 ipa-server-encrypted-dns 所需的版本。

流程

在 系统防火墙 中添加 dns-over-tls 服务，为 DoT 流量打开端口 853/TCP ：
```
firewall-cmd --add-service=dns-over-tls
```
```
# firewall-cmd --add-service=dns-over-tls
```
Copy to Clipboard Toggle word wrap

可选：要将自定义 PEM 格式的证书和密钥用于外部证书颁发机构发布的 DoT，请创建文件：

openssl req \
  -newkey rsa:2048 \
  -nodes \
  -keyout /etc/pki/tls/certs/privkey.pem \
  -x509 \
  -days 36500 \
  -out /etc/pki/tls/certs/certificate.pem \
  -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
  chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

$ openssl req \
  -newkey rsa:2048 \
  -nodes \
  -keyout /etc/pki/tls/certs/privkey.pem \
  -x509 \
  -days 36500 \
  -out /etc/pki/tls/certs/certificate.pem \
  -subj "/C=<country_code>/ST=<state>/L=<location>/O=<organization>/OU=<organizational_unit>/CN=<idm_server_fqdn>/emailAddress=<email>" && \
  chown named:named /etc/pki/tls/certs/privkey.pem /etc/pki/tls/certs/certificate.pem

Copy to Clipboard

Toggle word wrap

安装带有集成 DNS 的 IdM 服务器：

注意

如果您不严格要求 DoT，可以省略 --dns-policy 选项。然后，安装程序使用默认的 relaxed 策略。

要使用外部发布的密钥和证书安装 IdM 服务器，请指定证书和密钥路径：

ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --dns-over-tls-cert /etc/pki/tls/certs/certificate.pem --dns-over-tls-key /etc/pki/tls/certs/privkey.pem --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

Copy to Clipboard

Toggle word wrap

要安装带有集成 IdM CA 的 IdM 服务器，请运行以下命令：

ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

# ipa-server-install --setup-dns --dns-over-tls --dot-forwarder "<server_ip>#<dns_server_hostname>" --dns-policy enforced --no-dnssec-validation --auto-reverse --domain <domain_name> --realm <realm_name> --hostname <idm_server_fqdn> -p <admin_password> -a <admin_password> -U

Copy to Clipboard

Toggle word wrap

故障排除

为 unbound 服务启用详细的日志记录：
```
unbound-control verbosity 3
```
```
# unbound-control verbosity 3
```
Copy to Clipboard Toggle word wrap
重启 unbound 服务以应用更新的配置：
```
systemctl restart unbound
```
```
# systemctl restart unbound
```
Copy to Clipboard Toggle word wrap
监控 unbound 服务的实时日志：
```
journalctl -u unbound -f
```
```
$ journalctl -u unbound -f
```
Copy to Clipboard Toggle word wrap

返回顶部

29.2. 安装配置为使用 eDNS 的 IdM 服务器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links