Red Hat Training

A Red Hat training course is available for RHEL 8

2.7. IdM의 호스트 이름 및 DNS 요구 사항

서버 및 복제본 시스템에 대한 호스트 이름 및 DNS 요구 사항은 아래에 설명되어 있으며 시스템이 요구 사항을 충족하는지 확인하는 방법도 설명합니다.

이러한 요구 사항은 통합된 DNS 및 통합 DNS가 없는 모든 IdM(Identity Management) 서버에 적용됩니다.

주의

LDAP 디렉터리 서비스, Kerberos 및 Active Directory 통합 실행을 포함하여 거의 모든 IdM 도메인 기능에 DNS 레코드가 중요합니다. 신중하게 다음 사항을 확인하십시오.

  • 테스트되고 기능적인 DNS 서비스를 사용할 수 있습니다.
  • 서비스가 올바르게 구성되어 있습니다.

이 요구 사항은 통합된 DNS가 있는 IdM 서버에 적용됩니다.

서버 호스트 이름 확인

호스트 이름은 server.idm.example.com 과 같은 정규화된 도메인 이름이어야 합니다.

중요

단일 레이블 도메인 이름(예: .company ): IdM 도메인은 하나 이상의 하위 도메인과 최상위 도메인(예: example.com 또는 company.example.com )으로 구성되어야 합니다.

정규화된 도메인 이름은 다음 조건을 충족해야 합니다.

  • 유효한 DNS 이름이며 숫자, 영문자 및 하이픈(-)만 허용됩니다. 호스트 이름에 밑줄(_)과 같은 기타 문자는 DNS 오류가 발생합니다.
  • 모두 소문자이어야 합니다. 대문자는 사용할 수 없습니다.
  • 루프백 주소로 확인되지 않습니다. 127.0.0.1 이 아닌 시스템의 공용 IP 주소로 확인되어야 합니다.

호스트 이름을 확인하려면 설치하려는 시스템에서 hostname 유틸리티를 사용합니다. 

# hostname
server.idm.example.com

hostname의 출력은 localhost 또는 localhost6이 아니어야 합니다.

정방향 및 역방향 DNS 구성 확인

  1. 서버의 IP 주소를 가져옵니다.

    1. ip addr show 명령은 IPv4 및 IPv6 주소를 모두 표시합니다. 다음 예에서 범위가 전역이므로 관련 IPv6 주소는 2001:DB8::1111 입니다. 

      [root@server ~]# ip addr show
...
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
	link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff
	inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0
		valid_lft 106694sec preferred_lft 106694sec
	inet6 2001:DB8::1111/32 scope global dynamic
 		valid_lft 2591521sec preferred_lft 604321sec
	inet6 fe80::56ee:75ff:fe2b:def6/64 scope link
	       valid_lft forever preferred_lft forever
...

  2. dig 유틸리티를 사용하여 정방향 DNS 구성을 확인합니다.

    1. dig +short server.idm.example.com 명령을 실행합니다. 반환된 IPv4 주소는 ip addr show 에서 반환된 IP 주소와 일치해야 합니다. 

      [root@server ~]# dig +short server.idm.example.com A
192.0.2.1

    2. dig +short server.idm.example.com AAAA 명령을 실행합니다. 주소를 반환하는 경우 ip addr show:에서 반환한 IPv6 주소와 일치해야합니다. 

      [root@server ~]# dig +short server.idm.example.com AAAA
2001:DB8::1111
      참고

      dig 에서 AAAA 레코드에 대한 출력을 반환하지 않으면 잘못된 구성이 표시되지 않습니다. 출력은 단지 시스템의 DNS에 IPv6 주소가 구성되어 있지 않음을 의미합니다. 네트워크에서 IPv6 프로토콜을 사용하지 않으려면 이 상황에서 설치를 진행할 수 있습니다.

  3. 역방향 DNS 구성(PTR 레코드)을 확인합니다. dig 유틸리티를 사용하여 IP 주소를 추가합니다.

    아래 명령에서 다른 호스트 이름 또는 호스트 이름이 없으면 역방향 DNS 구성이 올바르지 않습니다.

    1. dig +short -x IPv4_address 명령을 실행합니다. 출력에 서버 호스트 이름이 표시되어야 합니다. 예를 들어 다음과 같습니다. 

      [root@server ~]# dig +short -x 192.0.2.1
server.idm.example.com

    2. 이전 단계에서 dig +short -x server.example.com AAAA 명령이 IPv6 주소를 반환한 경우 dig 를 사용하여 IPv6 주소를 쿼리합니다. 출력에 서버 호스트 이름이 표시되어야 합니다. 예를 들어 다음과 같습니다. 

      [root@server ~]# dig +short -x 2001:DB8::1111
server.idm.example.com
      참고

      이전 단계에서 dig +short server.idm.example.com AAAA 가 IPv6 주소를 표시하지 않으면 AAAA 레코드를 쿼리해도 아무 것도 출력되지 않습니다. 이 경우 정상적인 동작이며 잘못된 구성이 표시되지 않습니다.

      주의

      역방향 DNS(PTR 레코드) 검색에서 여러 호스트 이름, httpd 및 IdM과 관련된 기타 소프트웨어에서 예기치 않은 동작이 표시될 수 있습니다. Red Hat은 IP당 하나의 PTR 레코드만 구성하는 것이 좋습니다.

DNS 전달자의 표준 준수 확인 (통합 DNS에만 필요)

IdM DNS 서버와 함께 사용하려는 모든 DNS 전달자가 DNS (Extension Mechanisms for DNS (EDNS0) 및 DNS Security Extensions) 표준을 준수하는지 확인하십시오. 이렇게 하려면 각 전달자에 대해 다음 명령의 출력을 검사합니다. 

$ dig +dnssec @IP_address_of_the_DNS_forwarder . SOA

명령에서 표시되는 예상 출력에는 다음 정보가 포함됩니다.

  • 상태: NOERROR
  • 플래그: ra
  • EDNS 플래그: do
  • RRSIG 레코드가 ANSWER 섹션에 있어야 합니다.

출력에서 이러한 항목 중 하나라도 없으면 DNS 전달자의 설명서를 검사하고 EDNS0 및 DNSSEC가 지원되는지 확인합니다. 최신 버전의 BIND 서버에서 dnssec-enable yes; 옵션은 /etc/named.conf 파일에 설정해야 합니다.

dig에서 생성된 예상 출력 예: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
/etc/hosts 파일 확인

/etc/hosts 파일이 다음 조건 중 하나를 충족하는지 확인합니다.

  • 파일에는 호스트에 대한 항목이 포함되어 있지 않습니다. 호스트의 IPv4 및 IPv6 localhost 항목만 나열합니다.

  • 파일에는 호스트에 대한 항목이 포함되어 있으며 파일은 다음 조건을 모두 이행합니다.

    • 처음 두 항목은 IPv4 및 IPv6 localhost 항목입니다.
    • 다음 항목은 IdM 서버 IPv4 주소와 호스트 이름을 지정합니다.
    • IdM 서버의 FQDN은 IdM 서버의 짧은 이름 앞에 옵니다.
    • IdM 서버 호스트 이름은 localhost 항목에 포함되지 않습니다.

    다음은 올바르게 구성된 /etc/hosts 파일의 예입니다. 

127.0.0.1   localhost localhost.localdomain \
localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain \
localhost6 localhost6.localdomain6
192.0.2.1	server.idm.example.com	server
2001:DB8::1111	server.idm.example.com	server