25.6.4. Verificando a configuração do DNS

Antes de configurar a confiança, verifique se os servidores de Gerenciamento de Identidade (IdM) e Active Directory (AD) podem resolver a si mesmos e uns aos outros.

Pré-requisitos

  • Você precisa estar logado com as permissões sudo.

Procedimento

  1. Execute uma consulta DNS para os Kerberos sobre os registros do serviço UDP e LDAP sobre os registros do serviço TCP.

    [admin@server ~]# dig +short -t SRV _kerberos._udp.idm.example.com.
    0 100 88 server.ipa.example.com.
    
    [admin@server ~]# dig +short -t SRV _ldap._tcp.idm.example.com.
    0 100 389 server.idm.example.com.

    Os comandos devem listar todos os servidores IdM.

  2. Execute uma consulta DNS para o registro TXT com o nome IdM Kerberos do reino. Espera-se que o valor obtido corresponda ao reino Kerberos que você especificou ao instalar o IdM.

    [admin@server ~]# dig +short -t TXT _kerberos.idm.example.com.
    "IDM.EXAMPLE.COM"

    Se os passos anteriores não retornaram todos os registros esperados, atualize a configuração do DNS com os registros que faltam:

    • Se seu ambiente IdM usa um servidor DNS integrado, insira o comando ipa dns-update-system-records sem nenhuma opção para atualizar seus registros do sistema:

      [admin@server ~]$ ipa dns-update-system-records
    • Se seu ambiente IdM não utiliza um servidor DNS integrado:

      1. No servidor da IdM, exportar os registros DNS da IdM para um arquivo:

        [admin@server ~]$ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate

        O comando cria um arquivo chamado dns_records_file.nsupdate com os registros DNS relevantes da IdM.

      2. Envie uma solicitação de atualização do DNS para seu servidor DNS usando o utilitário nsupdate e o arquivo dns_records_file.nsupdate. Para mais informações, consulte Atualização de Registros DNS Externos Utilizando nsupdate na documentação RHEL 7. Alternativamente, consulte a documentação de seu servidor DNS para adicionar registros DNS.
  3. Verificar se o IdM é capaz de resolver registros de serviço para AD com um comando que executa uma consulta DNS para Kerberos e LDAP sobre registros de serviço TCP:

    [admin@server ~]# dig +short -t SRV _kerberos._tcp.dc._msdcs.ad.example.com.
    0 100 88 addc1.ad.example.com.
    
    [admin@server ~]# dig +short -t SRV _ldap._tcp.dc._msdcs.ad.example.com.
    0 100 389 addc1.ad.example.com.