第 12 章 用于 DCN 的 tls-e

流程

• 如果您正在运行 Red Hat Enterprise Linux (RHEL) 8.2，则必须将 RHEL 升级到 8.4，然后按照 RHEL 8.4 中的说明进行操作。

• 如果您正在运行 RHEL 8.4，请修改 ipa-ext.conf 和 ipa-options-ext.conf 文件：

  1. 在 ipa-ext.conf 文件中的访问控制列表(ACL)中添加可信子网：

      acl "trusted_network" {
        localnets;
        localhost;
        192.168.24.0/24;
        192.168.25.0/24;
      };

  2. 在 /etc/named/ipa-options-ext.conf 文件中允许递归和查询缓存：

     allow-recursion { trusted_network; };
     allow-query-cache { trusted_network; };

  3. 重启 'named-pkcs11 服务：

     systemctl restart named-pkcs11

• 如果您正在运行 RHEL 7 版本，您必须手动为您的域添加访问控制指令。

  1. 在 Red Hat Identity Manager 中运行以下命令以配置 ACI。

     ADMIN_PASSWORD=<redhat_01>
     DOMAIN_LEVEL_1=<local>
     DOMAIN_LEVEL_2=<redhat>
     
     cat << EOF | ldapmodify -x -D "cn=Directory Manager" -w ${ADMIN_PASSWORD}
     dn: cn=dns,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}
     changetype: modify
     add: aci
     aci: (targetattr = "aaaarecord || arecord || cnamerecord || idnsname || objectclass || ptrrecord")(targetfilter = "(&(objectclass=idnsrecord)(|(aaaarecord=)(arecord=)(cnamerecord=)(ptrrecord=)(idnsZoneActive=TRUE)))")(version 3.0; acl "Allow hosts to read DNS A/AAA/CNAME/PTR records"; allow (read,search,compare) userdn = "ldap:///fqdn=*,cn=computers,cn=accounts,dc=${DOMAIN_LEVEL_2},dc=${DOMAIN_LEVEL_1}";)
     EOF

• 将 <redhat_01 > 替换为您要设置的管理密码。
• 将 <local > 替换为顶级域。
• 将 <redhat > 替换为第二级域。

其他资源

• 使用 Ansible 实施 TLS-e