Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3. IdM サーバーのインストール: 概要

注記
以下のセクションのインストール手順と例は合わせて使用できます。手順と例を組み合わせて、必要な結果を得ることができます。たとえば、統合 DNS と、外部でホストされるルート CA のあるサーバーをインストールできます。
ipa-server-install ユーティリティーは、IdM サーバーをインストールし、設定します。
サーバーをインストールする前に、以下のセクションを参照してください。
ipa-server-install ユーティリティーは、非対話型インストールモードで、自動化および無人サーバーの設定が可能です。詳細は、「非対話形式でのサーバーのインストール」を参照してください。
ipa-server-install インストールスクリプトにより、/var/log/ipaserver-install.log にログファイルが作成されます。ログは、インストールに失敗した時の問題特定に役立ちます。

2.3.1. 統合 DNS を使用するかどうかの決定

IdM は、統合 DNS があるサーバーまたは統合 DNS のないサーバーのインストールに対応します。
統合 DNS サービスを備えた IdM サーバー
IdM が提供する統合 DNS サーバーは、汎用 DNS サーバーとして使用するように設計されていません。IdM のデプロイメントとメンテナンスに関連する機能のみに対応します。高度な DNS 機能の一部には対応していません。
Red Hat では、IdM デプロイメントにおける基本的な使用のために IdM 統合 DNS を強く推奨します。IdM サーバーが DNS も管理する場合には、DNS とネイティブの IdM ツールが密接に統合されるため、DNS レコード管理の一部が自動化できます。
IdM サーバーがマスター DNS サーバーとして使用されている場合でも、その他の外部 DNS サーバーはスレーブサーバーとしても使用できます。
たとえば、環境がすでに Active Directory 統合 DNS サーバーなどの別の DNS サーバーを使用している場合には、IdM のプライマリードメインのみを IdM 統合 DNS に委譲できます。DNS ゾーンを IdM 統合 DNS に移行する必要はありません。
注記
SAN (Subject Alternative Name) 拡張機能の IP アドレスを使用して IdM クライアントの証明書を発行する必要がある場合は、IdM 統合 DNS サービスを使用する必要があります。
統合 DNS のあるサーバーをインストールするには、「統合 DNS を使用したサーバーのインストール」 を参照してください。
統合 DNS サービスのない IdM サーバー
外部 DNS サーバーは、DNS サービスを提供するために使用されます。以下の状況では、DNS を使用せずに IdM サーバーをインストールすることを検討してください。
  • IdM DNS のスコープを超える高度な DNS 機能が必要な場合
  • 外部の DNS サーバーを使用できるようにする、適切に確立された DNS インフラストラクチャーがある環境
統合 DNS のないサーバーをインストールするには、 「統合 DNS を使用しないサーバーのインストール」 を参照してください。
重要
お使いのシステムが 「ホスト名および DNS 設定」 に記載されている DNS 要件を満たしていることを確認してください。

統合または外部 DNS のメンテナンス要件

統合 DNS サーバーを使用する場合には、ほとんどの DNS レコードのメンテナンスは自動化されます。必要な作業は以下のとおりです。
  • 親ドメインから IdM サーバーに正しい委譲を設定する
    たとえば、IdM ドメイン名が ipa.example.com の場合は、example.com ドメインから適切に委譲する必要があります。
    注記
    以下のコマンドを使用して委譲を確認できます。
    # dig @IP_address +norecurse +short ipa.example.com. NS
    ip_address は、example.com DNS ドメインを管理するサーバーの IP アドレスです。委譲が正しい場合は、このコマンドは DNS サーバーがインストールされている IdM サーバーを表示します。
外部 DNS サーバーを使用する場合は、以下を行う必要があります。
  • DNS サーバーに新規ドメインを手動で作成する
  • IdM インストーラーが生成したゾーンファイルのレコードをもとに新しいドメインを手動で入力する
  • レプリカのインストールまたは削除後にレコードを手動で更新する。また、Active Directory 信頼が設定された後など、サービス設定の変更後にレコードを手動で更新する。

DNS アンプ攻撃の防止

IdM 統合 DNS サーバーのデフォルト設定により、すべてのクライアントが DNS サーバーに再帰クエリーを発行できます。信頼できないクライアントが含まれるネットワークにサーバーがデプロイされている場合は、サーバー設定を変更して、承認されたクライアントにのみ再帰を制限します。[1]
承認されたクライアントのみが再帰クエリーを発行できるようにするには、サーバーの /etc/named.conf ファイルに適切なアクセス制御リスト (ACL) ステートメントを追加します。以下に例を示します。
acl authorized { 192.0.2.0/24; 198.51.100.0/24; };
options {
  allow-query { any; };
  allow-recursion { authorized; };
};


[1] 詳細は、DNS Amplification Attacks ページを参照してください。