1.4. Nome do host e requisitos DNS para IdM

Esta seção lista o nome do host e os requisitos DNS para servidores e réplicas de sistemas. Ela também mostra como verificar se os sistemas atendem aos requisitos.

Os requisitos desta seção se aplicam a todos os servidores de Gerenciamento de Identidade (IdM), aqueles com DNS integrado e aqueles sem DNS integrado.

Atenção

Os registros DNS são vitais para quase todas as funções do domínio IdM, incluindo a execução de serviços de diretório LDAP, Kerberos e integração com Active Directory. Seja extremamente cauteloso e assegure-se disso:

  • Você tem um serviço DNS testado e funcional disponível
  • O serviço está devidamente configurado

Esta exigência se aplica a servidores IdM com and sem DNS integrado.

Verificar o nome do host do servidor

O nome do host deve ser um nome de domínio totalmente qualificado, como por exemplo server.example.com.

O nome de domínio totalmente qualificado deve satisfazer as seguintes condições:

  • É um nome DNS válido, o que significa que somente números, caracteres alfabéticos e hífens (-) são permitidos. Outros caracteres, tais como sublinhados (_), no nome do host causam falhas no DNS.
  • É tudo em minúsculas. Não são permitidas letras maiúsculas.
  • Ele não resolve para o endereço de loopback. Ele deve resolver para o endereço IP público do sistema, não para 127.0.0.1.

Para verificar o nome do host, use o utilitário hostname no sistema onde você deseja instalar:

# hostname
server.idm.example.com

O resultado de hostname não deve ser localhost ou localhost6.

Verificar a configuração do DNS para frente e para trás
  1. Obter o endereço IP do servidor.

    1. O comando ip addr show exibe tanto os endereços IPv4 como IPv6. No exemplo a seguir, o endereço IPv6 relevante é 2001:DB8::1111 porque seu escopo é global:

      [root@server ~]# ip addr show
      ...
      2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
      	link/ether 00:1a:4a:10:4e:33 brd ff:ff:ff:ff:ff:ff
      	inet 192.0.2.1/24 brd 192.0.2.255 scope global dynamic eth0
      		valid_lft 106694sec preferred_lft 106694sec
      	inet6 2001:DB8::1111/32 scope global dynamic
       		valid_lft 2591521sec preferred_lft 604321sec
      	inet6 fe80::56ee:75ff:fe2b:def6/64 scope link
      	       valid_lft forever preferred_lft forever
      ...
  2. Verifique a configuração do DNS forward usando o utilitário dig.

    1. Execute o comando dig short server.example.com A. O endereço IPv4 devolvido deve corresponder ao endereço IP devolvido por ip addr show:

      [root@server ~]# dig +short server.example.com A
      192.0.2.1
    2. Execute o comando dig short server.example.com AAAA. Se ele retornar um endereço, ele deve corresponder ao endereço IPv6 retornado por ip addr show:

      [root@server ~]# dig +short server.example.com AAAA
      2001:DB8::1111
      Nota

      Se dig não retornar nenhuma saída para o registro AAAA, ele não indica configuração incorreta. Nenhuma saída significa apenas que nenhum endereço IPv6 está configurado no DNS para o sistema. Se você não pretende usar o protocolo IPv6 em sua rede, você pode prosseguir com a instalação nesta situação.

  3. Verificar a configuração DNS inversa (registros PTR). Use o utilitário dig e adicione o endereço IP.

    Se os comandos abaixo exibem um nome de host diferente ou nenhum nome de host, a configuração DNS inversa está incorreta.

    1. Execute o comando dig short -x IPv4_address. A saída deve exibir o nome do host do servidor. Por exemplo:

      [root@server ~]# dig +short -x 192.0.2.1
      server.example.com
    2. Se o comando dig short -x server.example.com AAAA na etapa anterior devolveu um endereço IPv6, use dig para consultar também o endereço IPv6. A saída deve mostrar o nome do host do servidor. Por exemplo:

      [root@server ~]# dig +short -x 2001:DB8::1111
      server.example.com
      Nota

      Se dig short server.example.com AAAA na etapa anterior não exibia nenhum endereço IPv6, consultando o registro AAAA não produziu nada. Neste caso, este é um comportamento normal e não indica configuração incorreta.

      Atenção

      Se uma busca DNS reversa (registro PTR) retorna vários nomes de host, httpd e outros softwares associados à IdM podem mostrar um comportamento imprevisível. A Red Hat recomenda fortemente a configuração de apenas um registro PTR por IP.

Verificar a conformidade com as normas dos encaminhadores DNS (exigido apenas para o DNS integrado)

Certifique-se de que todos os encaminhadores DNS que você deseja utilizar com o servidor DNS da IdM estejam em conformidade com os mecanismos de extensão para os padrões DNS (EDNS0) e Extensões de Segurança DNS (DNSSEC). Para fazer isso, inspecione a saída do seguinte comando para cada encaminhador separadamente:

$ dig dnssec @IP_address_of_the_DNS_forwarder . SOA

A saída esperada exibida pelo comando contém as seguintes informações:

  • status NOERROR
  • bandeiras ra
  • Bandeiras EDNS do
  • O registro RRSIG deve estar presente na seção ANSWER

Se algum desses itens estiver faltando na saída, inspecione a documentação para seu encaminhador DNS e verifique se EDNS0 e DNSSEC são suportados e habilitados. Nas versões mais recentes do servidor BIND, a opção dnssec-enable yes; deve ser definida no arquivo /etc/named.conf.

Exemplo da produção esperada produzida por dig:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48655
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096

;; ANSWER SECTION:
. 31679 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015100701 1800 900 604800 86400
. 31679 IN RRSIG SOA 8 0 86400 20151017170000 20151007160000 62530 . GNVz7SQs [...]
Verifique o arquivo /etc/hosts

Verifique se o arquivo /etc/hosts preenche uma das seguintes condições:

  • O arquivo não contém uma entrada para o anfitrião. Ele apenas lista as entradas IPv4 e IPv6 do localhost para o host.
  • O arquivo contém uma entrada para o anfitrião e o arquivo preenche todas as condições a seguir:

    • As duas primeiras entradas são as entradas IPv4 e IPv6 localhost.
    • A próxima entrada especifica o endereço IPv4 do servidor IdM e o nome do host.
    • O FQDN do servidor da IdM vem antes do nome curto do servidor da IdM.
    • O nome do anfitrião do servidor IdM não faz parte da entrada do anfitrião local.

    A seguir, um exemplo de um arquivo /etc/hosts corretamente configurado:

127.0.0.1	localhost.localdomain	localhost
::1		localhost6.localdomain6	localhost6
192.0.2.1	server.example.com	server
2001:DB8::1111	server.example.com	server