Red Hat Training
A Red Hat training course is available for RHEL 8
2.7. IdM의 호스트 이름 및 DNS 요구 사항
서버 및 복제본 시스템에 대한 호스트 이름 및 DNS 요구 사항은 아래에 설명되어 있으며 시스템이 요구 사항을 충족하는지 확인하는 방법도 설명합니다.
이러한 요구 사항은 통합된 DNS 및 통합 DNS가 없는 모든 IdM(Identity Management) 서버에 적용됩니다.
LDAP 디렉터리 서비스, Kerberos 및 Active Directory 통합 실행을 포함하여 거의 모든 IdM 도메인 기능에 DNS 레코드가 중요합니다. 신중하게 다음 사항을 확인하십시오.
- 테스트되고 기능적인 DNS 서비스를 사용할 수 있습니다.
- 서비스가 올바르게 구성되어 있습니다.
이 요구 사항은 통합된 DNS가 있는 IdM 서버에 적용됩니다.
- 서버 호스트 이름 확인
호스트 이름은
server.idm.example.com
과 같은 정규화된 도메인 이름이어야 합니다.중요단일 레이블 도메인 이름(예:
.company
): IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예:example.com
또는company.example.com
)으로 구성되어야 합니다.정규화된 도메인 이름은 다음 조건을 충족해야 합니다.
- 유효한 DNS 이름이며 숫자, 영문자 및 하이픈(-)만 허용됩니다. 호스트 이름에 밑줄(_)과 같은 기타 문자는 DNS 오류가 발생합니다.
- 모두 소문자이어야 합니다. 대문자는 사용할 수 없습니다.
-
루프백 주소로 확인되지 않습니다.
127.0.0.1
이 아닌 시스템의 공용 IP 주소로 확인되어야 합니다.
호스트 이름을 확인하려면 설치하려는 시스템에서
hostname
유틸리티를 사용합니다.# hostname server.idm.example.com
hostname
의 출력은localhost
또는localhost6
이 아니어야 합니다.- 정방향 및 역방향 DNS 구성 확인
서버의 IP 주소를 가져옵니다.
ip addr show
명령은 IPv4 및 IPv6 주소를 모두 표시합니다. 다음 예에서 범위가 전역이므로 관련 IPv6 주소는2001:DB8::1111
입니다.[root@server ~]# ip addr show ... 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0 valid_lft 106694sec preferred_lft 106694sec inet6 2001:DB8::1111/32 scope global dynamic valid_lft 2591521sec preferred_lft 604321sec inet6 fe80::56ee:75ff:fe2b:def6/64 scope link valid_lft forever preferred_lft forever ...
dig
유틸리티를 사용하여 정방향 DNS 구성을 확인합니다.dig +short server.idm.example.com
명령을 실행합니다. 반환된 IPv4 주소는ip addr show
에서 반환된 IP 주소와 일치해야 합니다.[root@server ~]# dig +short server.idm.example.com A 192.0.2.1
dig +short server.idm.example.com AAAA
명령을 실행합니다. 주소를 반환하는 경우ip addr show
:에서 반환한 IPv6 주소와 일치해야합니다.[root@server ~]# dig +short server.idm.example.com AAAA 2001:DB8::1111
참고dig
에서 AAAA 레코드에 대한 출력을 반환하지 않으면 잘못된 구성이 표시되지 않습니다. 출력은 단지 시스템의 DNS에 IPv6 주소가 구성되어 있지 않음을 의미합니다. 네트워크에서 IPv6 프로토콜을 사용하지 않으려면 이 상황에서 설치를 진행할 수 있습니다.
역방향 DNS 구성(PTR 레코드)을 확인합니다.
dig
유틸리티를 사용하여 IP 주소를 추가합니다.아래 명령에서 다른 호스트 이름 또는 호스트 이름이 없으면 역방향 DNS 구성이 올바르지 않습니다.
dig +short -x IPv4_address
명령을 실행합니다. 출력에 서버 호스트 이름이 표시되어야 합니다. 예를 들어 다음과 같습니다.[root@server ~]# dig +short -x 192.0.2.1 server.idm.example.com
이전 단계에서
dig +short -x server.example.com AAAA
명령이 IPv6 주소를 반환한 경우dig
를 사용하여 IPv6 주소를 쿼리합니다. 출력에 서버 호스트 이름이 표시되어야 합니다. 예를 들어 다음과 같습니다.[root@server ~]# dig +short -x 2001:DB8::1111 server.idm.example.com
참고이전 단계에서
dig +short server.idm.example.com AAAA
가 IPv6 주소를 표시하지 않으면 AAAA 레코드를 쿼리해도 아무 것도 출력되지 않습니다. 이 경우 정상적인 동작이며 잘못된 구성이 표시되지 않습니다.주의역방향 DNS(PTR 레코드) 검색에서 여러 호스트 이름,
httpd
및 IdM과 관련된 기타 소프트웨어에서 예기치 않은 동작이 표시될 수 있습니다. Red Hat은 IP당 하나의 PTR 레코드만 구성하는 것이 좋습니다.
- DNS 전달자의 표준 준수 확인 (통합 DNS에만 필요)
IdM DNS 서버와 함께 사용하려는 모든 DNS 전달자가 DNS (Extension Mechanisms for DNS (EDNS0) 및 DNS Security Extensions) 표준을 준수하는지 확인하십시오. 이렇게 하려면 각 전달자에 대해 다음 명령의 출력을 검사합니다.
$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOA
명령에서 표시되는 예상 출력에는 다음 정보가 포함됩니다.
-
상태:
NOERROR
-
플래그:
ra
-
EDNS 플래그:
do
-
RRSIG
레코드가ANSWER
섹션에 있어야 합니다.
출력에서 이러한 항목 중 하나라도 없으면 DNS 전달자의 설명서를 검사하고 EDNS0 및 DNSSEC가 지원되는지 확인합니다. 최신 버전의 BIND 서버에서
dnssec-enable yes;
옵션은/etc/named.conf
파일에 설정해야 합니다.dig
에서 생성된 예상 출력 예:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; ANSWER SECTION: . 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400 . 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
-
상태:
/etc/hosts
파일 확인/etc/hosts
파일이 다음 조건 중 하나를 충족하는지 확인합니다.- 파일에는 호스트에 대한 항목이 포함되어 있지 않습니다. 호스트의 IPv4 및 IPv6 localhost 항목만 나열합니다.
파일에는 호스트에 대한 항목이 포함되어 있으며 파일은 다음 조건을 모두 이행합니다.
- 처음 두 항목은 IPv4 및 IPv6 localhost 항목입니다.
- 다음 항목은 IdM 서버 IPv4 주소와 호스트 이름을 지정합니다.
-
IdM 서버의
FQDN
은 IdM 서버의 짧은 이름 앞에 옵니다. - IdM 서버 호스트 이름은 localhost 항목에 포함되지 않습니다.
다음은 올바르게 구성된
/etc/hosts
파일의 예입니다.
127.0.0.1 localhost localhost.localdomain \ localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain \ localhost6 localhost6.localdomain6 192.0.2.1 server.idm.example.com server 2001:DB8::1111 server.idm.example.com server