Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3.3. 統合 DNS を使用したサーバーのインストール

注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
統合 DNS のあるサーバーをインストールするには、インストールプロセス時に以下の情報を指定します。
DNS フォワーダー
以下の DNS フォワーダー設定がサポートされます。
  • 1 つ以上のフォワーダー (非対話型インストールの --forwarder オプション)
  • フォワーダーなし (非対話型インストールの --no-forwarders オプション)
DNS 転送を使用するかどうか不明な場合は、「DNS 転送の管理」 を参照してください。
逆引き DNS ゾーン
以下の逆引き DNS ゾーン設定がサポートされます。
  • IdM DNS で作成する必要がある逆引きゾーンの自動検出 (対話型インストールの場合は --auto-reverse オプションのデフォルト設定)
  • 逆引きゾーンの自動検出なし (対話型インストールの --no-reverse オプション)
--auto-reverse オプションが設定されている場合には、--allow-zone-overlap オプションは無視されます。オプションの組み合わせの使用:
$ ipa-server-install --auto-reverse --allow-zone-overlap
そのため、別の DNS サーバーなどで、既存の DNS ゾーンと重複する 逆引きゾーン は作成されません。
非対話的なインストールでは --setup-dns オプションも追加します。

例2.1 統合 DNS を使用したサーバーのインストール

この手順では、以下のサーバーをインストールします。
  • 統合 DNS のあるサーバー
  • 統合 IdM CA をルート CA とするサーバー (デフォルトの CA 設定)
  1. ipa-server-install ユーティリティーを実行します。
    # ipa-server-install
  2. スクリプトにより、統合 DNS サービスの設定が求められます。yes を入力します。
    Do you want to configure integrated DNS (BIND)? [no]: yes
  3. このスクリプトで、必要な設定を入力するように求められます。
    • 括弧内のデフォルト値をそのまま使用するには、Enter を押します。
    • 提案されたデフォルト値とは異なる値を指定するには、必要な値を入力します。
    Server host name [server.example.com]:
    Please confirm the domain name [example.com]:
    Please provide a realm name [EXAMPLE.COM]:
    警告
    Red Hat では、Kerberos レルム名がプライマリー DNS ドメイン名と同じで、すべて大文字にすることを強く推奨します。たとえば、プライマリー DNS ドメインが ipa.example.com の場合は、Kerberos レルム名として IPA.EXAMPLE.COM を使用します。
    異なる命名プラクティスを使用すると、Active Directory の信頼を使用できなくなるなど、悪影響をもたらします。
  4. Directory Server のスーパーユーザー (cn=Directory Manager)、および IdM システムユーザーアカウント (admin) のパスワードを入力します。
    Directory Manager password:
    IPA admin password:
  5. DNS フォワーダー設定のスクリプトプロンプトが表示されます。
    Do you want to configure DNS forwarders? [yes]:
    • DNS フォワーダーを設定するには、yes を入力して表示されたコマンドラインの指示に従います。
      インストールプロセスにより、インストールした IdM サーバーの /etc/named.conf ファイルに、フォワーダーの IP アドレスが追加されます。
      • 転送ポリシーのデフォルト設定については、ipa-dns-install(1) man ページの --forward-policy の説明を参照してください。
      • 詳細は、「Forward Policies」 も参照してください。
    • DNS 転送を使用しない場合は、no と入力します。
  6. そのサーバーと関連する IP アドレスの DNS 逆引き (PTR) レコードを設定する必要性を確認するスクリプトプロンプトが出されます。
    Do you want to search for missing reverse zones? [yes]:
    検索を実行して欠落している逆引きゾーンが見つかると、PTR レコードの逆引きゾーンを作成するかどうかが尋ねられます。
    Do you want to create reverse zone for IP 192.0.2.1 [yes]:
    Please specify the reverse zone name [2.0.192.in-addr.arpa.]:
    Using reverse zone(s) 2.0.192.in-addr.arpa.
    注記
    任意で、逆引きゾーンの管理に IdM を使用できます。代わりに、この目的で外部 DNS サービスを使用することもできます。
  7. サーバー設定をする場合は、yes と入力します。
    Continue to configure the system with these values? [no]: yes
  8. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。
  9. 親ドメインから ldM DNS ドメインに DNS 委譲を追加します。たとえば、IdM DNS ドメインが ipa.example.com の場合は、ネームサーバー (NS) レコードを親ドメイン example.com に追加します。
    重要
    この手順は、IdM DNS サーバーをインストールするたびに繰り返す必要があります。
このスクリプトでは、CA 証明書をバックアップして必要なネットワークポートが開いていることの確認が推奨されます。IdM ポートの要件と、これらのポートを開く方法は、「ポートの要件」 を参照してください。
新しいサーバーをテストするには、以下を行います。
  1. admin 認証情報を使用して Kerberos レルムに対して認証します。これにより、admin が適切に設定され、Kerberos レルムにアクセスできることを確認します。
    # kinit admin
  2. ipa user-find などのコマンドを実行します。新しいサーバーでは、このコマンドは、設定したユーザー (admin) のみを出力します。
    # ipa user-find admin
    --------------
    1 user matched
    --------------
    User login: admin 
    Last name: Administrator 
    Home directory: /home/admin 
    Login shell: /bin/bash 
    UID: 939000000 
    GID: 939000000 
    Account disabled: False 
    Password: True 
    Kerberos keys available: True 
    ----------------------------
    Number of entries returned 1
    ----------------------------